Alerta: Preenchimento automático do browser deixa roubar dados

12 Jan 2017 · Browsers 12 Comentários

Os browsers são ferramentas essenciais em constante evolução para dar aos utilizadores as melhores funcionalidades. Uma das que surgiram, e que cada vez mais gente usa, é o preenchimento automático de campos.

Se julgavam que esta funcionalidade era segura, foi agora provado que a maioria dos browsers deixa escapar mais informação do que aquela que o utilizador vê e autoriza.

Sempre que navegamos para uma página web, o browser tenta preencher de forma automática os dados do utilizador, facilitando-lhe a utilização e poupando-lhe tempo.

O problema do Preenchimento automático

Se visivelmente conseguimos controlar e até alterar os dados que são colocados nesses campos, a verdade é que os browsers podem enviar muito mais informação, sem que os utilizadores sejam notificados ou que a autorização seja dada. Essa informação pode ir desde os dados mais sensíveis até aos números de cartões de crédito.

Esta falha foi mostrada por um hacker finlandês, Viljami Kuosmanen, que colocou na sua conta do Twitter a prova de que esta pode ser explorada por qualquer página web.

A solução temporária para este problema

Para já, não existe uma solução para o problema que, segundo se sabe, afecta a maioria dos browsers, nomeadamente, o Chrome, Safari, Opera e até o Edge. Curiosamente, o Firefox não tem esta falha, uma vez que o preenchimento automático deste browser funciona de forma diferente, obrigando o utilizador a escolher qual os dados a serem usados.

Até que surja uma solução para os restantes, a solução passa por desabilitar o preenchimento automático ou por ter algum cuidado nas páginas onde autorizam que estes dados sejam usados. Importa notar que este problema não se limita ao browser e está também em algumas extensões, como o LastPass.

Se quiserem confirmar a falha referida, podem aceder a este website, desenvolvido por Viljami Kuosmanen, onde muito mais que os vossos dados preenchidos vão ser mostrados.

Este artigo tem mais de um ano

Acompanhe o Pplware no Google Notícias

Propor Revisão Proponha uma correção, faça uma sugestão

Autor: Pedro Simões

Tags: browser dados Preenchimento automático Roubo

Comentários12

okapi says:

12 de Janeiro de 2017 às 03:00

O Firefox the best, prova o que diz ser …

Responder
- rlopes says:
  
  12 de Janeiro de 2017 às 10:54
  
  O firefox “diz” muita coisa, mas só vai valer a pena quando o desempenho em streams em páginas em (e com) html5 for, pelo menos, igual à concorrência. Até lá, só para ir ao email, facebook e outras coisas parecidas, para muitos serve bem.
  
  Responder
- ananás says:
  
  13 de Janeiro de 2017 às 02:15
  
  Ainda falta muito ao Firefox para se aproximar do que é hoje o Chrome. Ele chegará lá, mas tem ainda muito que melhorar
  
  Responder
luigy says:

12 de Janeiro de 2017 às 04:47

Interessante por ser tão fácil de cair e por ser tão fácil de replicar. Acho estranho só se terem lembrado disto agora…. Sinceramente não estou a ver como detectar se um login é seguro (mantendo o autocomplete ligado) visto que mesmo que use um script/extensão que me diga se há hiddens na página podem sempre usar javascript, css ou, como está nesta página em questão, empurrar a caixa para fora do ecrã. Talvez contar o número de forms a enviar no POST e comparar com um valor previsto, se for superior alertar e cancelar o envio. Algum programador que me faça isto :p

Responder
Ricardo Raimundo says:

12 de Janeiro de 2017 às 09:11

Fiquei sem perceber se isso também acontece com usernames e passwords ou se só com dados de formulário.

Responder
- TekMan says:
  
  12 de Janeiro de 2017 às 16:26
  
  A vantagem dos usernames e pass é que só são preenchidos automaticamente nos endereços a que dizem respeito.
  É claro que este truque também pode ser usado pelos sites onde colocamos os usernames e pass, e ficarem a saber a morada, companhia, telefone, etc etc… Mas o contrário não me parece possível.
  
  Responder
Ricardo says:

12 de Janeiro de 2017 às 09:38

Pergunta parva mas que ainda assim vou fazer. Está falha também é válida para os browser dos tabtlets?

Responder
António Paulo says:

12 de Janeiro de 2017 às 10:43

Estava um pouco admirado por nunca terem falado nisso, eu logo de inicio (ainda do tempo que praticamente só havia o internet explorer) que desligava essa opção e também a que guardava as os dados de logins. Julgo que a comodidade não é compatível com a segurança. Mais uma, desligo sempre a opção dos programas que se ligam logo que iniciamos sessão.

Responder
- Insider says:
  
  12 de Janeiro de 2017 às 11:53
  
  +1
  
  Responder
- stealth says:
  
  12 de Janeiro de 2017 às 12:58
  
  e se tiveres um keylogger? essa opcao ja e mais segura. nao e assim tao linear
  
  Responder
tiago says:

12 de Janeiro de 2017 às 19:22

Ainda bem que nunca usei disso…já no tempo do IE detestava essa opção….

Responder
Miguel Porto says:

12 de Janeiro de 2017 às 22:17

Realmente é preocupante. Neste caso a camada adicional de autenticação em 2 passos ajuda a combater isto. Por curiosidade visitei a tal página e nada foi mostrado a não ser o que inseri, isto com chrome.

Responder

Deixe um comentário Cancelar Resposta

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.