Otomatik Doldurma Seçeneği Tehlikeli Olabilir

Çoğumuz bir yerlere kayıt olurken web formlarını doldurmaktan nefret ediyoruz.

Bizim bundan nefret ettiğimizi fark eden tarayıcılar bizi bundan kurtarmak için daha önce benzer alanlara girmiş olduğumuz verilere dayanarak otomatik olarak web formlarını dolduran “Otomatik doldur” özelliğini sunar.

Bu özellik her ne kadar oldukça kullanışlı gibi gözükse de bu özelliğin kötü niyetli üçüncü kişiler tarafından size karşı kullanılabileceği düşünülebilir.

Fin web geliştiricisi ve beyaz şapkalı hacker olan Viljami Kuosmanen bir saldırganın çoğu tarayıcıda, eklentide ve parola yöneticisinde bulunan otomatik doldurma özelliğinden nasıl yararlanılabileceğini gösteren bir demo yayımladı.

Her ne kadar bu yöntem 2013 yılında ElevenPaths’de güvenlik analisti olan Ricardo Martin Rodriguez tarafından keşfedilmiş olsa da, Google “Otomatik doldur” özelliğini geliştirmek veya iyileştirmek için hiçbir adım atmadı.

Yöntemi kanıtlamak için açtığı demo web sitesi sadece iki adet doldurma alanına sahip: İsim ve e-posta. Ancak görülemeyen pek çok şey, mesela telefon numarası, organizasyon, adres, posta kodu, şehir ve ülke gibi birçok alan bulunabilir.

Kişisel Bilgilerinizi Farkında Olmadan Başkalarına Veriyor Olabilirsiniz

Mesela siz bir web sitesine girdiniz ve bir formu doldurmanız gerekiyor. Sizin gördüğünüz kadarıyla bu form e-posta, kullanıcı adı gibi basit alanlar içeriyor fakat aslında sizin göremediğiniz hassas bilgileri talep eden farklı alanlar da olabilir. Eğer siz otomatik doldurma özelliğini kullanırsanız, sadece masum olan alanlar değil, hassas bilgilerinizi saldırganlara yollayacak alanlar da doldurulabilir.

image1

Sizin eklentilerinizin veya tarayıcınızın “otomatik doldur” özelliği ile ne kadar bilgi doldurduğunu öğrenmek için Kuosmanen’in demo web sitesini kullanabilirsiniz.

Kuosmanen’in araştırması oldukça büyük tarayıcılar ve parola yöneticileriyle devam ediyor. Bunlardan bazıları Google Chrome, Apple Safari, Opera ve LastPass.

Mozilla Firefox kullanan kullanıcıların bu konu hakkında endişe etmeleri gerekmiyor çünkü Firefox birden fazla alanı aynı anda doldurmuyor. Kullanıcının doldurmak istediği alanı seçmesi gerekiyor.

Bu gibi kimlik hırsızlıklarına kurban gitmemeniz için “otomatik doldur” özelliğini kullanmamanızı öneriyoruz. Kullandığınız tarayıcıda “otomatik doldur” özelliğini kapatırsanız, web formlarını elle doldurmanız gerekecek fakat güvende olduğunuzdan emin olacaksınız.