Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 59 reacties

Volgens een beveiligingsonderzoeker kan de autocomplete-functie die veel populaire browsers hebben, worden gebruikt om persoonlijke gegevens te ontfutselen. Om exploits tegen te gaan, zou de functie moeten worden uitgeschakeld.

Jeremiah Grossman van WhiteHat Security zal op de Black Hat 2010-conferentie, die deze week in Las Vegas wordt gehouden, een lezing geven onder de titel 'Breaking browsers: hacking auto-complete'. Volgens de beveiligingsonderzoeker is het mogelijk om via exploits informatie uit de autocomplete-functie te halen. Veel browsers passen deze functie toe, zodat gebruikers webformulieren sneller kunnen invullen.

Grossman zegt afzonderlijke exploits voor autocomplete te hebben gemaakt voor Internet Explorer 6 en 7, Safari, Chrome en Firefox. Een bug die Grossman in Internet Explorer 8 had aangetroffen zou al eerder zijn gevonden, maar Microsoft zou het gat nog niet hebben gedicht. Behalve persoonlijke data als adressen of e-mailadressen zou het in bepaalde gevallen ook mogelijk zijn om wachtwoorden of bankgegevens buit te maken.

Volgens de beveiligingsonderzoekers zijn de tools die hij gebruikt om de fouten in de autocomplete-functie te gebruiken vrij eenvoudig. Ook zou Grossman de browserbouwers over de problemen hebben geïnformeerd. Totdat de bugs met patches zijn gedicht, is het voor internetsurfers veiliger om deze functie geheel uit te schakelen, zo stelt hij.

Moderatie-faq Wijzig weergave

Reacties (59)

Apple heeft zojuist een nieuwe versie van Safari uigebracht (5.01 voor Windows, Leopard en Snow Leopard en 4.1.1 voor Tiger).
Hierin is het autocomplete feature beter beveiligd. En verder nog wat verbeteringen aan webkit. Ook de extensies zijn geactiveerd. http://extensions.apple.com/

[Reactie gewijzigd door Willem-Jan1991 op 28 juli 2010 16:33]

We weten allemaal dat alle browers/OS;en vol met lekken zitten, die waarschijnlijk op dit moment zelfs misbruikt worden, maar waar niemand nog iets van weet.

Vind dit dan ook geen raar bericht.
Tweakers.net is ook geen rariteitenkabinet :+

Overigens heeft hij deze man een proof of concept online gezet voor Safari:

http://ha.ckers.org/weird/safari_autofill.html

Best impressive, ook vreemd dat dit nooit eerder opgepikt is. Ik heb m'n autocomplete iig uit staan nu :)
http://ha.ckers.org/weird/safari_autofill.html

Best impressive, ook vreemd dat dit nooit eerder opgepikt is. Ik heb m'n autocomplete iig uit staan nu :)
Searching "name":
Searching "company":
Searching "city":
Searching "state":
Searching "country":
Searching "email":

En dat met Safari op Win7 (met autofill niet uit).. Hier kan ik mee leven ;)
Ik weet niet hoor, maar voor zover ik kan beoordelen is dit alleen user-facing, en heeft de server daar geen enkele toegang toe. Kan me zelfs amper voorstellen dat JS hier toegang toe heeft,, dan zou 't eventueel wel via 'n AJAX-tooltje naar de server verstuurd kunnen worden, maar lijkt me dus heel sterk. Ik lig hier niet wakker van, en hou m'n autocomplete lekker aan :P.
Het enigste wat ze vinden is mijn naam en het land waar ik woon.
Jammergenoeg(?) kunnen ze dit ook perfect te weten komen als ik ze een mail stuur.
Voor de rest, ik vind het zoals bij veel dingen, ik heb het liever aan staan. Je kan het uitzetten, maar dan gaat er weer een deel confort en gemak verloren.
Je kan natuurlijk altijd naar iets gaan zoals 1password. Al weet ik niet of dat dan weer ook zo hackveilig is...
Heb het geprobeert (Safari 5.01, OSX 10.6.4), maar geen resultaat. En voor dit soort dingen ga ik iig niet mijn leven moeilijker maken. Ik let op wat voor sites ik bezoek en een beetje gezond verstand gaat verder dan een hoop exploits.
En hoe zet je dat dan uit?

Ik gebruik Firefox 4.0 b2 :)
Op dit soort momenten vraag ik me altijd af: 'Waarom gebruik jij een beta!?'

Niet echt zeer verrassend nieuws. En ik maak me er ook niet druk om, want volgens mij is 90% van de dingen die ik daar invul ook wel terug te vinden op hyves (en dan heb ik het over de privé gegevens die ik daar invul, zoals woonplaats e.d.)
In Firefox 3.6.8 en is denk ook nog wel van toepassing op 4.0 b2 is het:

Extra --> Opties --> Privacy --> Firefox zal: Aangepast instellingen gebruiken voor geschiedenis. Checkbox uitvinken met de beschrijving: "Zoek- en formuliergeschiedenis onthouden".
Als je 't antwoord paraat hebt, of je hebt uberhaupt geen principiële bezwaren tegen het helpen van anderen, dan geef je toch effe antwoord? Merk ook in het forum vaak dat mensen 10 seconden die ze aan 'n antwoord kunnen besteden en daarmee iemand kunnen helpen, liever besteden aan "Google 't effe", en af en toe zelfs ronduit botte opmerkingen. Ik begrijp 't ergens wel, maar vriendelijk is anders.

[Reactie gewijzigd door onex77 op 29 juli 2010 01:03]

wat zou die knop moeten doen? Hier met ie8 gebeurd er niks in elk geval :P
Geen raar bericht, maar wel een handig bericht..
pff... alles wat je opslaat is vatbaar voor hackers...
autocomplete is niks anders dan dingen op slaan...
dus voor mij komt dit niet uit de lucht vallen :/
Nou voor mij wel, het is toch iets voor de gebruiker niet de dat de server even kan meekijken.
Het zijn geen cookies ofzo.

[Reactie gewijzigd door Soldaatje op 28 juli 2010 15:41]

Jah, ik vind het ook een beetje een Stichting Open Deur publicatie van deze onderzoeker. Wel leuk dat hij de moeite heeft genomen om een proof-of-concept te bouwen.

Maar goed. Iedereen met een beetje computer verstand snapt dat als je passwords gaat opslaan in je browser welke deze dan vervolgens automatisch doorgeeft aan de doelpagina, dat inherent onveilig is. Liever houdt je zelf de controle over het invullen van je passwords.
Behalve het feit dat je passwords dan 24/7 blootgesteld zijn aan het internet (mits je pc en browser aanstaat), is het daadwerkelijke moment van invullen met de hand net zo onveilig als dit geautomatiseerd doen.
Wel dus. :(

[Reactie gewijzigd door Jaap-Jan op 28 juli 2010 21:20]

Wel apart eigenlijk; laatst waren er meerdere berichten dat alleen Apple's Safari dit deed, die heeft het in 5.0.1 weer gefixt.

...Of toch niet?
Hoewel de auto complete functies ook in Opera zitten wordt er in dit artikel niet over Opera gesproken.

Betekend dat nu dat Opera niet kwetsbaar is of hebben ze Opera niet meegenomen vanwege gebruikers aantallen..? Aangezien ik en veel mensen in mijn omgeving Opera gebruiken zou ik dat toch graag willen weten...
Opera kent geen strikte autocomplete...

Autocomplete houdt in dat er een soort van database wordt aangelegd van álle entries die je ooit in bv. een "name-field" heb ingevuld.

Bij Opera kan je onder "preferences --> form" maximaal één entry definiëren waarvan je wilt dat die automatisch naar bovenkomt in een overeenkomstig veld.

Maar als je een afwijkende entry in dat veld invoert, wordt dat de volgende keer niet automatisch aangevuld; een brute-force attack zoals in dit artikel wordt omschreven gaat bij Opera dus niet werken, omdat er maar één entry wordt onthouden.

[Reactie gewijzigd door deathgrunt op 28 juli 2010 15:39]

Opera waarschijnlijk niet kwetsbaar omdat je daar op CTRL + ENTER moet drukken voordat de gegevens in de invoervelden komen te staan. Bij IE, Firefox enz staan de wachtwoorden er gewoon meteen als je op de website komt.

Waarschijnlijk als je de extensie secure login in Firefox gaat gebruiken dat je bij Firefox ook veilig bent. https://addons.mozilla.org/nl/firefox/addon/4429/
Is maar een gedacht hé, ben er niet zeker van :D

[Reactie gewijzigd door SMGGM op 28 juli 2010 15:37]

op ha.ckers.org staat een proof of concept waar je kan testen wat die scripts dan allemaal over je kunnen te weten komen.
Edit: Blijkbaar enkel voor Safari (en Chrome?)

[Reactie gewijzigd door Hipska op 28 juli 2010 15:56]

Aangezien er 2 mensen iets over de site zeggen had je er net zo goed (als dat nog niet is) een link kunnen neerzetten waarbij je spyware automatisch download.

Als je op een site als tweakers al op een link als hierboven klikt laat staan hoeveel mensen dat doen op een site als prikbord.startpagina.nl?
Behalve dan dat er geen spyware wordt gedownload...
Het werkt niet automatisch als je NoScript gebruikt. Ik moest handmatig ha.ckers.org rechten geven om javascript te mogen uitvoeren.

Oh, en ik zie dat het sowieso niet werkt op FF (zie demonic reply feitelijk). Maargoed, geeft aan dat NoScript toch best wel handig is.

[Reactie gewijzigd door DarkKnight op 28 juli 2010 15:56]

Tsja, ik heb op NoScript dan weer ingesteld staan dat een domein dat ik bezoek zelf wel automatisch scripts kan uitvoeren (dus alleen beveiliging tegen cross-scripting).

En dan nog blokkeert NoScript vaak toch net iets te veel functionaliteit en zit ik ermee te klooien

Het is in ieder geval geen programma dat mijn vader en moeder kunnen gebruiken tijdens het surfen.
Dat script doet toch niks anders dan de aanwezige autocomplete entry's aan mij te laten zien? De gegevens worden nergens opgeslagen of later weergegeven, serverside is er dus helemaal niets te zien lijkt mij...

Daarbij lijkt het mij dat iedereen moet kunnen snappen dat dat soort gegevens te achterhalen zijn, maar who cares? Wie mijn naam, adres, telefoonnummer, geboortedatum etc. etc. willen weten kan simpelweg even googlen of op hyves ed. kijken. Waarom zou het mij uitmaken dat iemand die gegevens van mij heeft?
Dit script laat ze alleen zien, maar een kwaadaardig script kan ze naar de server sturen om op te slaan.
Nou ik weet niet wat ik moet doen, er staat "name" en een textbox, vervolgens een page not found error, in het adres staat ook iets over safari ik heb firefox, misschien dat dat het is.
op FF en opera krijg ik niks te zien.(behalve searching "name" enzo.)

op IE8 krijg ik onderaan in de statusbalk, fouten op de pagina...
hmm dat is wel erg jammer.. want ik vind het wel erg prettig werken... denk aan vaste gegevens als adressen en dergelijke.. (nu snap ik ook gelijk waarom ik het moet uitschakelen ;) )
autofill is altijd het tweede wat ik uit zet in een vers geinstalleerde browser, het eerste is wachtwoorden onthouden :)
Och dit is al zo bekend en logisch. Maar owee als ik deze instellingen voor zakelijke of privé personen uitschakel. Dan is de hel te klein!

Gebruiksgemak gaat voor alles... 8)7
Dat is dan ook waarmee alle spionnen van de overheid, google, etc schermen. Kijk eens wat handig voor je: autocomplete, auto-inlog, alle databases gecombineerd tot 1, 1 pasje voor alles, 1 sofinummer voor alles. En dan hebben ze je. Dan geef je alles onbewust en onbedoeld door aan eenieder die jhet maar weten wil.
Het verbaast me niets, ik twijfel al sinds het bestaan van deze functie over de veiligheid ervan. Als het wordt opgeslagen dan is er altijd wel een manier om er toegang tot te krijgen. Dat geldt niet alleen voor de auto-complete functie.
Niet mee eens. Het gaat om data die alleen dient om de werking/gebruiksvriendelijkheid van een browser te verbeteren. Ik heb me nooit met browserontwikkeling beziggehouden, maar is het niet gewoon een kwestie van slecht programmeren als een browser zomaar bepaalde gegevens die puur intern bedoeld zijn van buitenaf bereikbaar maakt.
Er zit blijkbaar een achterdeur op een plaats waar zoiezo geen deur nodig was.
Geniaal hoor. Dankzij dit kat en muis spel worden de systemen steeds veiliger en de lat wordt dan weer hoger gelegd voor de hackers en speurders.

Al met al een goede ontwikkeling dus.

Nadeel is alleen als jij het lijdend voorwerp in het geheel bent, want id fraude is gewoon lijden.
Het is sowieso af te raden om autocomplete te gebruiken voor zaken als de inlogcodes van je bank, passwords etc. ook als je computer ( tijdelijk) in vreemde handen valt.
Zelfs zonder exploit is een autocomplete functie enorm gevaarlijk... Zie dat bij ons op het werk, waar je nog steeds kunt inloggen op een wiki website met het account van iemand die al maanden bij ons weg is. Simpelweg omdat zijn username & password in de autocomplete staan....

Je moet dus sowieso nooit belangrijke gegevens in een autocomplete zetten. Dat de autocomplete functie ook nog te hacken valt, is wat dat betreft totaal niet interessant...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True