Los perfiles de autocompletado (no confundir con el comportamiento de autocompletado de campos de formularios) de los navegadores web pueden ser utilizados para ataques de phishing, dando oportunidades a los atacantes para recopilar información de los usuarios a través de campos ocultos o invisibles, los cuales son rellenados automáticamente por el navegador con la información personal, que luego es enviada de forma inconsciente por el usuario.

Los perfiles de autocompletado es una característica reciente incluida en los navegadores web que permite al usuario crear perfiles que almacenan diferentes detalles sobre él mismo y que generalmente son introducidos en los formularios web. Cuando el usuario tiene que rellenar un formulario, puede simplemente seleccionar un perfil de autocompletado y el navegador web introducirá la información preestablecida en los distintos campos, ahorrando así tiempo a la hora de cumplimentarlo.

El desarrollador finés Viljami Kuosmanen publicó hace una semana una demostración en GitHub que muestra cómo un atacante puede aprovecharse de la característica de perfiles de autocompletado a través de un simple formulario web en el cual solo se ven los campos del nombre y el email, además del botón de enviar. Al menos que el usuario mire el código fuente de la página web y descubra que hay otros seis campos ocultos adicionales, no será consciente que también estará enviando otros datos como el teléfono, la organización, la dirección, el código postal, la ciudad y el país.

Si el usuario tiene un perfil de autocompletado, cuando decida rellenar esos dos campos visibles también rellenará los otros seis invisibles. Siguiendo este proceso, actores maliciosos pueden recolectar todo tipo de información personal de los usuarios.

Kuosmanen ha comentado a BleepingComputer que este ataque es muy similar a los honeypots, los cuales se usan en muchas ocasiones para evitar el spam. Este abuso de los perfiles de autocompletado responde al mismo principio, aunque atrapa el navegador web del usuario en lugar de un bot de red. A pesar de que la demostración se publicó recientemente, el desarrollador descubrió el fallo de seguridad hace tiempo. La idea de hacerlo público vino después de que Google Chrome rellenase de forma errónea los campos de un formulario de una tienda electrónica.

Actualmente los navegadores que soportan los perfiles de autocompletado son Google Chrome, Safari y Opera, mientras que en Mozilla Firefox esta característica todavía está en fase de desarrollo.

Viendo los problemas que pueden ocasionar, lo más recomendable de momento es inhabilitar los perfiles de autocompletado.

Fuente | BleepingComputer