Tại sao tính năng tự động điền của trình duyệt là một rủi ro bảo mật?

Nếu có một phần mềm trên điện thoại, máy tính hoặc bất kỳ thiết bị kết nối Internet nào khác mà bạn cần tin tưởng, thì đó chính là trình duyệt. Trình duyệt là cánh cửa dẫn bạn vào Internet, và nó có thể tìm hiểu khá nhiều về bạn dựa trên thói quen duyệt web của bạn. Trình duyệt web xem các trang web bạn truy cập, lưu trữ cookie của chúng, và nhiều trình duyệt sử dụng phân tích để cá nhân hóa trải nghiệm của bạn. Chúng thậm chí có thể ghi lại thời gian bạn dành cho một trang web cụ thể và các liên kết bạn nhấp vào.

Vì trình duyệt là cửa ngõ vào Internet, chúng cũng có thể kết nối bạn với các tính năng và công cụ của bên thứ ba có thể gây nguy hiểm cho quyền riêng tư của bạn. Các tiện ích mở rộng trình duyệt không đáng tin cậy nổi tiếng về những lỗ hổng bảo mật, và trình quản lý mật khẩu trong trình duyệt được cho là yếu hơn so với các tùy chọn độc lập. Mọi người đã sử dụng 1Password vì lý do này. Điều nhiều người không biết là một tính năng phổ biến khác của trình duyệt, tự động điền, cũng tiềm ẩn rủi ro tương tự.

Tự động điền của trình duyệt là một điểm yếu

Nó lưu trữ thông tin quan trọng nhất của bạn ở một nơi

Bất cứ khi nào bạn chọn lưu trữ thông tin ở một vị trí cụ thể, dù là kỹ thuật số hay vật lý, đều có nguy cơ thông tin đó bị xâm phạm. Tuy nhiên, rủi ro liên quan đến việc sử dụng tính năng tự động điền hoặc tự động hoàn thành trong trình duyệt là không đáng kể. Tính năng này lưu trữ thông tin quan trọng trong trình duyệt của bạn để có thể dễ dàng truy cập khi điền vào các biểu mẫu trên web. Các trường hợp sử dụng phổ biến bao gồm hoàn tất mua hàng tại cửa hàng trực tuyến hoặc đặt vé máy bay.

Khi sử dụng tính năng tự động điền trên trình duyệt web, không có nguy cơ lớn về các cuộc tấn công brute-force nhằm kiểm tra mã hóa dữ liệu. Rủi ro trong thực tế đơn giản hơn nhiều. Ví dụ, nếu bạn để máy tính xách tay mở và không khóa ở quán cà phê và quyết định đứng dậy đi vệ sinh, ai đó có thể mở trình duyệt và xem bất cứ thứ gì bạn đã lưu để tự động điền. Tương tự, nếu tài khoản Google của bạn bị xâm phạm, kẻ xấu có thể truy cập mật khẩu đã lưu và thông tin tự động điền của bạn trong Chrome.

Bạn có thể đang chia sẻ nhiều thông tin hơn mình nghĩ

Một nhà nghiên cứu đã chỉ ra cách các trang web có thể lừa đảo người dùng bằng tính năng tự động điền

Ngay cả khi tài khoản hoặc thiết bị không bị xâm phạm, bạn vẫn có thể chia sẻ nhiều thông tin hơn dự kiến ​​với các trang web khi sử dụng tính năng tự động điền. Một nhà nghiên cứu bảo mật đã chứng minh cách đây nhiều năm rằng về mặt lý thuyết, các trang web có thể lấy thông tin tự động điền bằng cách sử dụng những trường không hiển thị cho người dùng cuối. Điều này đã được giải thích trong một dự án GitHub, và người dùng có thể tự mình xem nó hoạt động trên trang web thử nghiệm này.

Trang web mẫu hiển thị các trường để nhập tên và địa chỉ email, nhưng sau khi sử dụng tính năng tự động điền trong Google Chrome, trang web sẽ đánh cắp số điện thoại, tổ chức và địa chỉ đã lưu của bạn. Người dùng nghĩ rằng họ chỉ đang chia sẻ thông tin trong các trường hiển thị. Trên thực tế, họ đang cung cấp tất cả mọi thứ trong profile tự động điền mà họ đã chọn. Bạn có thể thấy tất cả dữ liệu bị đánh cắp trong ảnh bên dưới:

Đã đến lúc xem xét lại việc sử dụng tính năng tự động điền

Bảo mật hầu như luôn là sự đánh đổi giữa sự tiện lợi

Rủi ro liên quan đến việc sử dụng tính năng tự động điền hoặc tự động hoàn thành rất đơn giản - nó đặt một số dữ liệu quý giá nhất của bạn đằng sau một mật khẩu duy nhất. Nếu bạn đăng nhập vào trình duyệt hoặc máy tính có bảo mật yếu hoặc không được bảo mật, ai đó có thể truy cập số điện thoại, địa chỉ và thông tin nhạy cảm như số CMND hoặc biển số xe mà không cần nhập mật khẩu.

Vì nhiều trình duyệt duy trì thông tin tự động điền trên nhiều thiết bị bằng cách sử dụng điện toán đám mây, nên rủi ro cao hơn. Nếu tài khoản đó bị xâm phạm, ai đó có thể truy cập mọi thứ được lưu trữ trong đó. Điều này hoàn toàn trái ngược với trải nghiệm sử dụng trình quản lý mật khẩu an toàn, thường yêu cầu mật khẩu chính và mã thiết lập hoặc mã chuyển để truy cập thông tin đã lưu trên thiết bị mới.

Trên hết, khả năng kẻ xấu sử dụng các biểu mẫu tự động điền giả mạo để đánh cắp nhiều thông tin cá nhân hơn mức mọi người sẵn lòng cung cấp là điều đã thuyết phục nhiều người ngừng sử dụng tính năng tự động điền hoàn toàn. Sự tiện lợi chắc chắn là tốt, nhưng một số tính năng hữu ích đơn giản là không đáng để mạo hiểm về mặt bảo mật.