存在多年的漏洞!使用瀏覽器「自動填入」功能恐洩漏重要個資

Blogtrepreneur via Flickr
《衛報》近日報導「新」的釣魚手法——利用瀏覽器自動填入功能竊取個人資料,不過據駭客Viljami Kuosmanen表示,這個漏洞早已存在多年。

每當註冊一個新網站,又或者填寫收貨地址的時候,看著一大堆的輸入框就覺得頭痛。此時,相信大部分人都會用到瀏覽器自帶的自動填充功能,一鍵填入如姓名、電話、地址等資料,能夠省下不少時間。

不過,就在最近,一個芬蘭的網頁開發者和駭客Viljami Kuosmanen發現了一個重大的潛在安全漏洞,指出像Chrome、Safari和Opera這樣帶自動填入功能的瀏覽器,以及提供同樣功能的插件和工具(如LastPass)會洩露用戶的隱私。

駭客透過簡單的手段,就能夠選擇性隱藏頁面上的文本輸入框,而這,就意味著瀏覽器會在你不知情的情況下,把隱藏的輸入框都給自動填入了。如下圖Viljami的演示,雖然測試網頁上只要求輸入姓名和郵箱,但是按提交鍵後,抓取信息顯示,除了這兩個信息以外,用戶的電話、地址等信息也上傳了。

雖然自網購興起後,我們的名字、地址、電話等個人信息就已經洩漏得差不多了。但對於一些網購達人來說,還會經常需要填寫如信用卡卡號、有效日期和安全碼等這些敏感信息,這就涉及到了個人資金的安全。而更讓人擔心的是,據Viljami稱,這個漏洞已經存在多年了。

由於不支援一鍵表單填入,Firefox需要用戶逐個點擊輸入框才會給出輸入建議,而他們自然也就點擊不了隱藏的輸入框。除了可以選擇使用Firefox避開漏洞以外,用戶也可以選擇手動輸入(檢查網頁原始碼也不失為一個方法),或者直接把瀏覽器的自動填入功能給關掉。

關閉Chrome的自動填入功能:設定 – 點擊「顯示進階設定」 – 取消掉「密碼和表單」下面的勾選。

本文授權轉載自:愛范兒

愛范兒 ifanr

愛范兒連接全球創新者及消費者,跨界技術、文化、消費及創新,致力消費科技領域的產業評論、產品報導及社群連接,創造高品質的消費樂趣。

追蹤我們