Een betaal-API van webstandaardenorganisatie W3C die momenteel wordt ingevoerd bij alle grote browsers heeft op z'n minst een privacy-issue en in het slechtste geval zelfs een beveiligingsprobleem. De API specificeert hoe webapplicaties betaalmethodes weergeven en wat er gebeurt als een gebruiker voor een methode kiest: hoe de betaal-app wordt gestart en welke data er wordt ontvangen. Dat komt erop neer dat de betaalmethode informatie ontvangt uit de browser en bijvoorbeeld pasgegevens vast invult.

Er zijn uiteraard mechanismes ingebouwd om te voorkomen dat malafide websites gevoelige informatie kunnen aanspreken, maar die zijn niet toereikend, schrijft onderzoeker Lukasz Olejnik. Zo heeft Chrome een beperking dat de informatie maar eens in de dertig minuten kan worden aangesproken, om aanvallen te voorkomen die meerdere opties uitproberen. Maar dat tijdslot kan worden omzeild door meerdere iframes te gebruiken die elk een andere iteratie proberen.

Alle grote browsers werken aan implementatie: Chrome, Safari, Edge, Firefox, de browser van Samsung en ook Facebook werkt eraan om de Payment Requests-API te kunnen gebruiken. Chrome en Edge hebben de API inmiddels geïmplementeerd, meldt Olejnik, en WebKit en Firefox volgen binnenkort. Het Chrome-team werkt al een tijdje aan een patch die moet worden afgeleverd op 13 oktober, enkele dagen voor Chrome 62 live gaat.

Alles bij de bron; WebWereld