Att ständigt behöva fylla i samma uppgifter i olika webbformulärer kan bli en långdragen och jobbig process. För att underlätta arbetet har de flesta av dagens webbläsare så kallad ”autofyllning”, en funktion som sparar informationen du matat in sedan tidigare för att sedan kopiera över det vid behov.

Nu har det visat sig att denna funktion kan utnyttjas av hackare och andra förövare som vill åt dina personliga uppgifter. Finska webbutvecklaren Viljami Kousmanen har nämligen publicerat en demonstration som visar hur hackare enkelt kan använda autofyllningsfunktionen, i såväl webbläsare som lösenordshanterare, för att komma åt informationen.

Missa inte: Så attackeras du av gisslanprogram – och så skyddar du dig

Vid första anblick verkar testsidan rätt harmlös, den frågar nämligen bara efter namn och e-postadress. Det offret däremot inte ser är alla gömda fält som efterfrågar telefonnummer, adress, postnummer och andra privata uppgifter. Genom att aktivera autofyllning tror offret sig enbart delgivit namn och e-post, men i själva verket har även de andra uppgifterna fyllts i automatiskt.

attack
Källa: Viljami Kuosmanen

I teorin kan förövarna också göra attacken värre, genom att exempelvis efterfråga kontokortuppgifter samt tillhörande cvv-kod och utgångsdatum. Vissa webbläsare har dock utökade kontroller för kortnummer och liknande uppgifter.

Den enda webbläsaren som i dagsläget inte är sårbar för den här typen av attacker är Firefox. Där sparar autofyllningsfunktionen varje fält för sig, istället för att sedvanligt samla ihop informationen.

Enligt uppgifter kan attacken även lura populära molnsäkerhets- och lösenordsprogram som Lastpass. Vi rekommenderar läsare att slå av alla typer av autofyllningsfunktioner helt.