11. Mai 2022, 14:00 Uhr | Lesezeit: 3 Minuten
Eigentlich ist die Autofill-Funktion in Internet-Browsern praktisch. Sie vervollständigt automatisch eine Eingabe, wenn die ersten Buchstaben eines Wortes getippt sind. Allerdings lauern dahinter auch einige Gefahren.
Dass Browser einmal eingegebene Formulardaten – etwa Adresse, E-Mail oder Telefonnummer – behalten und später an geeigneter Stelle automatisch vorschlagen und einfügen können, ist praktisch. Allerdings ist diese auch „Autofill“ oder „Automatisches Ausfüllen“ genannte Funktion bei vielen Browsern und Erweiterungen auch eine Sicherheitslücke.
Der Trick mit unsichtbaren Formularfeldern
Bereits in der Vergangenheit haben Angreifer die Aufofill-Funktion ausgenutzt, indem sie Nutzer auf präparierte Internetseiten gelockt haben Dort sollten sie vergleichsweise Unkritisches wie Name oder E-Mail-Adresse eingeben. Die Seiten waren allerdings mit unsichtbaren Formularfeldern gespickt, die mithilfe der Autofill-Funktion sensible Informationen von der Telefon- bis hin zur Kreditkartennummer abgefragt haben – und diese auch erhielten.
Nutzer, die den Chrome-Browser zum Surfen im Internet verwenden, bekommen von dem Angriff meist nichts mit. Safari teilt Experten zufolge immerhin mit, welche Informationen der Browser für ein Formular freigibt. Und das auch dann, wenn diese nicht sichtbar sind. Die Immunität von Firefox gegenüber der Angriffsmasche ergibt sich laut „Heise Security“ aus der Tatsache, dass Nutzer bei diesem Browser jedes Formularfeld erst einzeln anklicken müssen, bevor die aktivierte Autofill-Funktion Informationen freigibt.
Lesen Sie auch: So stellen Sie nervige Browser-Benachrichtigungen ab
So deaktivieren Sie die Autofill-Funktion
Die Autofill-Funktion sollte man deshalb in den Einstellungen sicherheitshalber deaktivieren, rät der Online-Fachdienst „Heise Security“. Das sei zwar in Einzelsituationen etwas unpraktsicher, dafür auf lange Sicht sicherer. Betroffen seien Chrome, auf Chromium basierende Browser wie Opera oder Vivaldi sowie Safari, nicht aber Firefox.
Autofill-Funktion unter Chrome abschalten
Chrome-Nutzer öffnen einfach das „Einstellungen“-Menü (oben rechts über die drei kleinen Punkte) und klicken unten auf „Erweiterte Einstellungen“.
Im seitlichen Reiter taucht die Funktion als „Autofill“ oder „Automatisches Ausfüllen“ auf. Sie unterscheidet das Vervollständigen von Adressdaten, von Passwörtern und Zahlungsmethoden. Alle drei Methoden lassen sich mit einem Klick auf die jeweilige Kategorie unabhängig voneinander verwalten und deaktivieren.
Autofill-Funktion unter Safari abschalten
Wer Safari nutzt, geht ebenfalls in die Einstellungen. Diese erreicht man mit einem Klick auf „Safari“ im oberen linken Browserfenster. Dort wählt man dann den Reiter „Automatisch ausfüllen“ aus und entfernt auch hier die Haken bei den Infos, die nicht automatisch ausgefüllt werden sollen.
TECHBOOK erklärt´s So stellen Sie nervige Browser-Benachrichtigungen ab
Problemlos im Netz unterwegs So schützen Sie den Browser vor Viren
TECHBOOK erklärt's So löschen Sie Ihre Cookies im Browser
Wie sieht das „Autofill Phishing“ genau aus?
Der aus Finnland stammende Hacker und Web-Entwickler Viljami Kuosmanen, der als einer der ersten auf die Sicherheitslücke aufmerksam machte, hat zu Demonstrationszwecken eine eigene Seite programmiert. Wer die Methode also selbst nachvollziehen möchte, kann das dort tun.
In scheinbar zwei Feldern gilt es lediglich, per Autovervollständigung Name und E-Mail anzugeben. Über „Submit“ kann man sich dann im Quellcode anschauen, was im Hintergrund zusätzlich für Informationen gezogen werden.
