Seguramente en algún momento has agradecido la función de autocompletado de los navegadores. Tanto contraseñas como búsquedas -entre otros datos almacenados- se autocompletan y esto nos ayuda a no tener que estar ejercitando tanto la memoria, aunque mejor sería que ejercitemos la capacidad de recordar, digo, tal vez visto desde ese enfoque pienses distinta esa ‘comodidad’. Pero el autocompletado puede convertirse en una grieta en tu seguridad si no lo implementás con los reparos necesarios.
La desarrolladora Viljami Kuosmanen descubrió que los perfiles de autocompletado de Opera, Chrome y Safari publican su contenido completo cada vez que se activan, por lo que basta con crear campos ocultos en una página web para extraer el resto de los datos. Sí, así como lo leés: tu navegador ‘busca’ lugares para autocompletar datos, por lo que basta con proporcionárselos para que los llene. Vos no ves esos campos, pero el navegador sí. Llenar formularios resulta tedioso en muchas ocasiones. Algunas usuarias deben hacerlo a diario y eso genera un estrés constante. En ese momento festejamos el autocompletado y la predicción de texto. Nombre, apellido, fecha de nacimiento, dirección postal, email, número de teléfono, todo a un par de clics de distancia. Basta con buscarlos en el listado y elegirlos para que se carguen sin que tengamos que tipearlos. Kousmanen sostiene que la seguridad del manejo de estos datos deja mucho que desear y para corroborarlo creó una web por demás sencilla.
Esta página tiene sólo dos campos: nombre y email. La idea es que una usuaria de Chrome, Safari u Opera utilice allí la función de autocompletado para llenar os datos y luego le den a ‘submit’ (enviar). Lo que la página muestra a continuación son datos para los que no había campos. ¿Qué pasó? La página cuenta con campos ocultos que los perfiles de autocompletado llenan automáticamente sin que te enteres. Este ‘engaño’ es en realidad una vulnerabilidad que dejaron allí las desarrolladoras de ese software, ya que nosotras no interactuamos cargando nuestros datos sino que lo hace el navegador automáticamente. También podemos tirar por el caño nuestras contraseñas ya que existen distintas herramientas de autocompletado para esto como LastPass.
Nuestro consejo es dejar de utilizar estas funciones del navegador hasta que las desarrolladoras de los navegadores afectados creen algún tipo de solución que impida que enviemos todos estos datos de manera involuntaria. El único navegador que permanece incólume a esta vulnerabilidad es, por supuesto, Firefox que sólo aporta este tipo de datos campo a campo (aunque desde Mozilla han dicho que implementarán estas funciones más adelante, ojalá no lo hagan y nos liberen de este karma de perder la privacidad y autovulnerarnos en la búsqueda de escribir menos).
Hacé la prueba y chequeá cuán expuesta estás.
¡Happy Hacking!
hola alunado! los llena automáticamente, allí reside el hackeo, saludos desde el oeste!
..Lo que no me quedo claro (o no se detalla) es si Firefox arroja automaticamente los datos que posee a los campos de texto o si solo lo hace cuando le damos click y comenzamos a escribir.
Saludos desde el sur.