Browsers

Alerta: Preenchimento automático do browser deixa roubar dados

12 Comentários

Os browsers são ferramentas essenciais em constante evolução para dar aos utilizadores as melhores funcionalidades. Uma das que surgiram, e que cada vez mais gente usa, é o preenchimento automático de campos.

Se julgavam que esta funcionalidade era segura, foi agora provado que a maioria dos browsers deixa escapar mais informação do que aquela que o utilizador vê e autoriza.

Preenchimento automático browser

Sempre que navegamos para uma página web, o browser tenta preencher de forma automática os dados do utilizador, facilitando-lhe a utilização e poupando-lhe tempo.

O problema do Preenchimento automático

Se visivelmente conseguimos controlar e até alterar os dados que são colocados nesses campos, a verdade é que os browsers podem enviar muito mais informação, sem que os utilizadores sejam notificados ou que a autorização seja dada. Essa informação pode ir desde os dados mais sensíveis até aos números de cartões de crédito.

Esta falha foi mostrada por um hacker finlandês, Viljami Kuosmanen, que colocou na sua conta do Twitter a prova de que esta pode ser explorada por qualquer página web.

autofill-demo

A solução temporária para este problema

Para já, não existe uma solução para o problema que, segundo se sabe, afecta a maioria dos browsers, nomeadamente, o Chrome, Safari, Opera e até o Edge. Curiosamente, o Firefox não tem esta falha, uma vez que o preenchimento automático deste browser funciona de forma diferente, obrigando o utilizador a escolher qual os dados a serem usados.

Até que surja uma solução para os restantes, a solução passa por desabilitar o preenchimento automático ou por ter algum cuidado nas páginas onde autorizam que estes dados sejam usados. Importa notar que este problema não se limita ao browser e está também em algumas extensões, como o LastPass.

 

Se quiserem confirmar a falha referida, podem aceder a este website, desenvolvido por Viljami Kuosmanen, onde muito mais que os vossos dados preenchidos vão ser mostrados.

PUB
Autor: Pedro Simões
Partilhar:
Tags:
browser dados Preenchimento automático Roubo

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Instale facilmente o OpenVPN num Mac com o Tunnelblick
Artigo anterior

Instale facilmente o OpenVPN num Mac com o Tunnelblick
Apps móveis do Facebook deixaram de consumir tanta bateria
Próximo artigo

Apps móveis do Facebook deixaram de consumir tanta bateria
PUB

Comentários

12

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de okapi
    okapi

    O Firefox the best, prova o que diz ser …

    Responder
    1. Avatar de rlopes
      rlopes

      O firefox “diz” muita coisa, mas só vai valer a pena quando o desempenho em streams em páginas em (e com) html5 for, pelo menos, igual à concorrência. Até lá, só para ir ao email, facebook e outras coisas parecidas, para muitos serve bem.

      Responder
    2. Avatar de ananás
      ananás

      Ainda falta muito ao Firefox para se aproximar do que é hoje o Chrome. Ele chegará lá, mas tem ainda muito que melhorar

      Responder
  2. Avatar de luigy
    luigy

    Interessante por ser tão fácil de cair e por ser tão fácil de replicar. Acho estranho só se terem lembrado disto agora…. Sinceramente não estou a ver como detectar se um login é seguro (mantendo o autocomplete ligado) visto que mesmo que use um script/extensão que me diga se há hiddens na página podem sempre usar javascript, css ou, como está nesta página em questão, empurrar a caixa para fora do ecrã. Talvez contar o número de forms a enviar no POST e comparar com um valor previsto, se for superior alertar e cancelar o envio. Algum programador que me faça isto :p

    Responder
  3. Avatar de Ricardo Raimundo
    Ricardo Raimundo

    Fiquei sem perceber se isso também acontece com usernames e passwords ou se só com dados de formulário.

    Responder
    1. Avatar de TekMan
      TekMan

      A vantagem dos usernames e pass é que só são preenchidos automaticamente nos endereços a que dizem respeito.
      É claro que este truque também pode ser usado pelos sites onde colocamos os usernames e pass, e ficarem a saber a morada, companhia, telefone, etc etc… Mas o contrário não me parece possível.

      Responder
  4. Avatar de Ricardo
    Ricardo

    Pergunta parva mas que ainda assim vou fazer. Está falha também é válida para os browser dos tabtlets?

    Responder
  5. Avatar de António Paulo
    António Paulo

    Estava um pouco admirado por nunca terem falado nisso, eu logo de inicio (ainda do tempo que praticamente só havia o internet explorer) que desligava essa opção e também a que guardava as os dados de logins. Julgo que a comodidade não é compatível com a segurança. Mais uma, desligo sempre a opção dos programas que se ligam logo que iniciamos sessão.

    Responder
    1. Avatar de Insider
      Insider

      +1

      Responder
    2. Avatar de stealth
      stealth

      e se tiveres um keylogger? essa opcao ja e mais segura. nao e assim tao linear

      Responder
  6. Avatar de tiago
    tiago

    Ainda bem que nunca usei disso…já no tempo do IE detestava essa opção….

    Responder
  7. Avatar de Miguel Porto
    Miguel Porto

    Realmente é preocupante. Neste caso a camada adicional de autenticação em 2 passos ajuda a combater isto. Por curiosidade visitei a tal página e nada foi mostrado a não ser o que inseri, isto com chrome.

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.