Autofill-Funktion kann unbemerkt Daten preisgeben

Alle modernen Browser sowie einige Erweiterungen bieten die Möglichkeit, Formularfelder auf Webseiten automatisch mit einmal hinterlegten Daten auszufüllen. Dies ist praktisch, da Nutzer so nicht immer wieder Name, Anschrift oder Telefonnummer manuell eintragen müssen, wenn sie online einkaufen oder sich für einen Dienst registrieren. Die sogenannte Autofill-Funktion birgt aber auch Risiken, wie der finnische Web-Entwickler Viljami Kuosmanen gezeigt hat. Mittels eines simplen Phishing-Angriffs können Betrüger unbemerkt Daten von Anwendern abgreifen. Dazu müssen sie Nutzer nur auf eine Webseite locken, die einer seriösen Site nachempfunden ist.

Das Problem besteht darin, dass manche profilbasierte Autofill-Systeme – etwa das von Googles Chrome – auch in Webseiten eingebettete Formularfelder selbständig ausfüllen, die für den Nutzer nicht sichtbar sind. Als Machbarkeitsbeweis hat Kuosmanen eine Demo-Seite erstellt, auf der nur zwei Formularfelder für Name und E-Mail-Adresse zu sehen sind. Beginnt der Anwender, seinen Namen in das entsprechende Feld einzutragen, schlägt Chrome ihm das passende Profil vor und ergänzt nach dessen Auswahl automatisch die E-Mail-Adresse. So scheint es zumindest für den Nutzer. Tatsächlich füllt Chrome aber auch die weiteren auf der Seite versteckten Felder mit zusätzlichen persönlichen Daten, die dann ebenfalls übertragen werden.

Auf diese Weise könnten Datendiebe leicht an Telefonnummer, Adresse, Firmenanschrift oder laut Guardian sogar Kreditkarteninformationen kommen, die bei Chromes standardmäßig aktiviertem Autofill-System hinterlegt sind. Sie müssten einen unbedarften Anwender lediglich dazu verleiten, auf einer präparierten Webseite scheinbar unkritische Daten in ein Formularfeld einzugeben. Beispielsweise könnte solch eine Seite eine harmlos wirkende Anmeldung zu einem Gewinnspiel oder eine Umfrage enthalten, für die der Nutzer Name und E-Mail-Adresse angeben soll. Dass die Autofill-Funktion im Hintergrund eventuell auch andere Informationen weitergibt, bekommt er nicht mit.

Dieser fiese Trick funktioniert besonders effektiv mit Chrome und Chromium-basierten Browsern – obwohl das zugrundeliegende Problem schon seit 2013 bekannt ist. Firefox ist gegen einen solchen Phishing-Angriff immun, weil er keine vollständige Autofill-Funktion bietet und der Nutzer jedes Formularfeld einzeln per Rechtsklick auswählen muss, um hinterlegte Daten eintragen zu lassen. Dasselbe gilt für den Desktop-Browser von Cliqz, der auf Mozillas Firefox aufbaut. Dank eingebauter Anti-Phishing-Technik verhindert er zudem schon von Vornherein, dass du auf gefälschte Webseiten gelockt wirst. Apples Safari informiert den Anwender grundsätzlich über alle Daten, die automatisch in Formularfelder eingetragen wurden, was nicht sichtbare einschließt.

Der Anbieter des auch für den Cliqz Browser verfügbaren Passwortmanagers LastPass hat als Reaktion auf Kuosmanens Ausführungen klargestellt, dass sein optionaler „Formularassistent“ Daten nur nach Nachfrage beim Nutzer in Webseitenformulare einfüge. Vor dem Eintragen von Kreditkarten- oder Zahlungsinformationen erfolge eine zusätzliche Sicherheitsabfrage – egal ob die Formularfelder sichtbar seien oder nicht.

Um dich vor solchen Phishing-Angriffen zu schützen, solltest du die Autofill-Funktion in anfälligen Browsern und Erweiterungen abschalten oder direkt eine sichere Alternative wie Cliqz nutzen. In Chrome kannst du „AutoFill“ über die Einstellungen deaktivieren. Dazu musst du zunächst die erweiterten Einstellungen anzeigen lassen und dann unter dem Punkt „Passwörter und Formulare“ das Häkchen neben „AutoFill aktivieren, um Webformulare mit nur einem Klick ausfüllen zu können“ entfernen.