In den NachrichtenNerdkrams
Passwortcloud dank Reklame im Web

Es freut sich Technikblogger „caschy“:

Nutzer von Android 8.0 Oreo bekom­men näm­lich Autofill in die Hand gedrückt, der Entwickler greift hier­bei nach eige­nen Aussagen auf das neu geschaf­fe­ne Autofill-API zurück, wie es bereits meh­re­re Passwort-Manager auf der Android-Plattform machen. Bedeutet für euch, dass Inhalte in Passwort-Formularen auto­ma­tisch unter Android aus­ge­füllt wer­den können.

(Absatz zwecks Lesbarkeit umformatiert.)

Was aber tut die­ses „Autofill-API“? Nun, laut Dokumentation - Übersetzung und Hervorhebung von mir - unge­fähr das, was es auch in gewöhn­li­chen Webbrowsern auf anstän­di­gen Rechnern tut, nur eben auf Android- statt bloß auf Webebene:

Benutzer kön­nen Zeit beim Ausfüllen von Formularen spa­ren, indem sie „Autofill“ auf ihren Geräten nut­zen. Android macht das Ausfüllen von Formularen, etwa Konto- und Kreditkartenformularen, mit der Einführung des Autofill-Frameworks ein­fa­cher. Dieses Framework ver­wal­tet die Kommunikation zwi­schen der App und einem Dienst zum auto­ma­ti­schen Ausfüllen.

Ist ja immer alles prak­tisch und wir leben nun mal im Jahr 2018, da muss man sich an so etwas gewöh­nen, nicht wahr?

Nein, nicht wahr:

Forscher haben zwei ver­schie­de­ne Scripts aus­ge­macht (…), die dar­auf aus­ge­rich­tet sind, iden­ti­fi­zier­ba­re Informationen aus brow­ser­ba­sier­ten Passwortmanagern aus­zu­le­sen. Die Scripts ver­rich­ten ihr Werk, indem sie unsicht­ba­re Anmeldeformulare im Hintergrund der Website ein­fü­gen und alles, was die Browser auto­ma­tisch ein­tra­gen, auf­schau­feln. (…) Die Plugins fokus­sie­ren sich über­wie­gend auf die Benutzernamen, aber den Forschern zufol­ge gibt es kei­ne tech­ni­schen Vorkehrungen dage­gen, dass sie auf dem­sel­ben Weg auch Passwörter sammeln.

Bislang ent­stam­men die Fundstücke der Reklameszene, wer also - wie jeder ver­nünf­ti­ge Mensch - sei­nen Browser von der­lei Krempel frei hält, der dürf­te nicht ganz so gefähr­det sein wie die Zielgruppe tod­ge­weih­ter Verlage, die unbe­irr­bar der Ansicht sind, das Blockieren von Schadsoftware sei vor allem geschäfts­schä­di­gend. Eine noch wesent­lich ange­neh­me­re Atmosphäre wird aller­dings geschaf­fen, wenn man ein­fach dar­auf ver­zich­tet, irgend­was auto­ma­tisch aus­fül­len zu las­sen. In Webbrowsern und in Android selbst ist das noch eine optio­na­le, also abschalt­ba­re Funktion.

Dass das zwangs­läu­fig zu frag­wür­di­gen Kommentaren sei­tens technik­hö­ri­ger Zeitgenossen füh­ren wird, denn es sei doch eh egal, weil Google/Facebook/Apple/NSA/Amazon sowie­so schon alles über den Protagonisten wis­sen, sei hier ein­mal freu­dig in Kauf genom­men. Digitale Selbstverteidigung hieß frü­her Paranoia.

Senfecke:

  1. „Login form auto­fil­ling in gene­ral doesn’t requi­re user inter­ac­tion; all of the major brow­sers will auto­fill the user­na­me (often an email address) immedia­te­ly, regard­less of the visi­bi­li­ty of the form. Chrome doesn’t auto­fill the pass­word field until the user clicks or tou­ches any­whe­re on the page. Other brow­sers we tested [2] don’t requi­re user inter­ac­tion to auto­fill pass­word fields.“

    Other brow­sers waren FF, IE, Edge, Safari.

    Problem ist also bei Google am wenig­sten schlimm. Und das Bild im Artikel zeigt das Chrome Logo …

Comments are closed.

:) 
:D 
:( 
:o 
8O 
:? 
8) 
:lol: 
:x 
:aufsmaul: 
mehr...
 

Erlaubte Tags:
<strong> <em> <pre> <code> <a href="" title=""> <img src="" title="" alt=""> <blockquote> <q> <b> <i> <del> <span style=""> <strike>

Datenschutzhinweis: Ihre IP-Adresse wird nicht gespeichert. Details finden Sie hier.