Por Guilherme Scombatti

/ Em Segurança da Informação /

Postado em

jun 12, 2017

Dados expostos: cuidado com o preenchimento automático de formulários

A grande maioria dos usuários provavelmente já utilizaram e ainda utilizam o “famoso” recurso de preenchimento automático de formulários que os navegadores de Internet disponibilizam. Este tipo de recurso facilita e é uma economia de tempo, pois preenche automaticamente dados como nome, endereço, número de telefone, e-mail e outros dados, pois já estão salvos no navegador.

Para o usuário, esse tipo de recurso é essencial, pois insere informações básicas que ele praticamente teria que digitar todas as vezes que preenchesse um formulário de cadastro, mas o navegador pode estar inserindo muito mais informação do que o usuário está realmente visualizando. Com um simples descuido, o usuário pode fornecer mais informações privadas do que realmente quer.

Diante desta facilidade que os navegadores apresentam, criminosos descobriram uma nova e poderosa ferramenta para roubar dados dos usuários, com o melhor: sem o usuário desconfiar de nada.

O ataque consiste em criar formulários válidos com campos de nome e e-mail por exemplo, e campos adicionais, não visíveis para o usuário, com outros dados como endereço, sexo, idade, etc. Esses campos adicionais são ocultos utilizando códigos de programação web, onde o usuário só consegue descobri-los se visualizar o código fonte do formulário que está sendo exibido. Quando o preenchimento automático de formulário é utilizado, todos os campos, visíveis e não visíveis, são preenchidos. Dessa forma o usuário envia mais dados para o atacante do que pensa.

O pesquisador de segurança Viljami Kuosmanen gravou uma demonstração de como esse ataque funciona e você pode conferir abaixo:

preenchimento automatico de formularios

Esse tipo de vazamento de dados ocorre no navegador Chrome, um dos mais utilizados entre os usuários, no Safari e no Firefox, mas pode ser facilmente evitado com uma simples configuração. No navegador Firefox existe uma certa “segurança” para esse vazamento, pois o usuário precisa clicar em cada dado que será inserido no formulário automaticamente, ao contrário do Chrome e do Safari que preenchem automaticamente.

Uma má notícia é que essa opção, por padrão, vem habilitada no navegador e a boa notícia é que esse recurso pode ser facilmente desabilitado.

Como desativar esse recurso no navegador Chrome:

  • Abra o navegador Chrome
  • Digite chrome://settings/search#senha na barra de endereço;
  • No item “Senhas e formulários” desmarque a opção “Ative o preenchimento automático para preencher formulários da web com apenas um clique”.

preenchimento automatico de formularios

Como desativar esse recurso no navegador Safari:

  • Abra o navegador Safari;
  • Clique no item “Safari” que fica na barra de opções;
  • Acesse “Preferências”;
  • Clique em “Autofill”
  • Desmarque as opções conforme a imagem abaixo:

preenchimento automatico de formularios

Até que o problema de preenchimento automático de formulário seja resolvido, é importante desabilitar essa funcionalidade e ficar seguro quanto ao vazamento de informações com esse tipo de ataque.

0
Guilherme Scombatti

Autor: Guilherme Scombatti

Trabalha com segurança da informação há mais de 5 anos, possui diversas certificações na área e também tem experiência em análise de malware há mais de 2 anos. Guilherme Scombatti tem seu nome em alguns programas de "Bug Bounty" como Apple, Adobe, Foursquare entre outros. Tem atuado em projetos de penetration testing em grandes empresas do segmento bancário, órgãos públicos, mineradoras entre outros.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *