El hacker finlandés Viljami Kuosmanen alertó sobre un nuevo tipo de phishing (una técnica para robar información), que puede ser aplicado cuando el usuario emplea la función de autocompletado al ingresar sus datos como nombre y mail en Chrome, Safari y Opera, debido a que estos navegadores también guardan de forma invisible otros ítems (tarjetas de crédito, teléfono, etc).

Esto significa que el sistema de autocompletado puede ser aprovechado por atacantes, en tanto que cuando un usuario ingresa su información básica a través de este sistema automático (que evita repetir datos que uno ya escribió y los repite), el mismo tiene almacenada de forma oculta otros ítems sensibles que la persona ya había colocado antes, como su número de tarjeta de crédito o teléfono, y dirección postal, informó hoy el diario británico The Guardian.

Para demostrar su descubrimiento, Kuosmanen publicó un sitio de prueba , en el cual se muestran dos casilleros para completar (nombre y mail), mientras que luego se observa que las cajas de texto que no están a la vista también registran la organización, la dirección postal y el número de teléfono de esa persona, entre otros datos.

El finlandés, que publicó en su cuenta de Twitter un gif explicativo, detectó esta vulnerabilidad en navegadores como Chrome, Safari y Opera, así como en algunas extensiones, tales como LastPass.

   Seguir Viljami Kuosmanen ⭐ @anttiviljami

This is why I don't like autofill in web forms. #phishing #security#infosec

07:03 - 4 ene 2017

•  
•  
•    5.3485.348 Retweets
•  
•    4.3584.358 me gusta

   

Por el momento, Firefox de Mozilla "es inmune al problema" al no tener un sistema múltiple de autocompletado, según Daniel Veditz, ingeniero de seguridad de esa organización.

Los usuarios se pueden proteger de este tipo de ataque de phishing al inhabilitar el sistema de autocompletado dentro de sus navegadores o configuración de extensiones, ya que en algunos casos está activado por default.