網頁自動填充被曝漏洞,你名字電話地址通通可能被泄露

雷鋒網 於 12/01/2017 發表 收藏文章
當你在註冊新賬號,或者填寫收貨地址時,大堆信息是否讓你頭疼?所幸的是,大多數瀏覽器都自帶了的自動填充表單的功能,一秒鐘就能幫你填好所有的所有輸入框。

可是,最近一個芬蘭的網頁開發者和黑客 Viljami Kuosmanen 發現了一個自動填寫表單功能重大的潛在安全漏洞,他表示諸如 Chrome、Safari 和 Opera 等瀏覽器,或是 LastPass 這樣帶自動填充功能的瀏覽器插件,都可能會泄露用户的隱私。

自動填表如何泄露你的隱私
一般來説,在使用自動填充功能之前,用户需要提前把需要自動填充的個人信息存儲在瀏覽器或者工具中,以 Chrome 瀏覽器為例:

其自動填寫的信息包括郵編、詳細地址、組織(公司)、用户名、電話、和電子郵件等,通常可用來快速填寫收貨地址。


再以自動登錄工具 Lastpass 為例,它提供了更為詳細的資料填寫項目,幾乎可以幫你自動填寫能想到的所有資料,包括除了基礎的用户名、姓名、生日、社會保險號碼(身份證號),還有詳細地址、聯繫人、銀行賬户等等。


然而這些 Viljami 發現,通過極其簡單的手段將一些文本輸入框隱藏起來,就可以在你不知情的情況下,得到你表單中的所有個人資料。

為了實際展示該功能,Viljami 做了一個簡單的演示 Demo 網站,看起來,網頁上只要求輸入姓名和郵箱,但是按提交鍵後,通過瀏覽器抓取信息顯示,除了頁面上能看到的兩項信息以外,用户的電話、地址等信息也被上傳了。


【圖片來自:Viljami 提供的演示 demo 】

雷鋒網宅客頻道按照這種思路繪製了一個釣魚網站騙取用户信息的示意圖如下:


釣魚網站會將一些用户電話、地址等信息的輸入框隱藏起來,雖然用户的肉眼看不到,但是自動填寫程序能捕捉到,並在用户不知情的情況下“幫” 用户把信息填進去。

據雷鋒網了解,喜歡海淘的人經常需要填寫如信用卡卡號、有效日期和安全碼等信息,此外,人們在參加“特價秒殺”等搶購活動時也需要爭分多秒地填寫表單,這時許多人會 選擇將住址、電話等資料保存在瀏覽器或插件中,以便自動填充。

一旦用户在釣魚網站使用了自動填充功能,就很可能會泄露自己的詳細地址、信用卡號、安全碼等信息。

問題的發現者 Viljami 表示:“該問題在 Chromium 內核中存在6年之久,這就是我不愛用自動填寫表單的原因。”

他還表示 Mozilla 的 Firefox 火狐瀏覽器並沒有此類問題,因為它只支持自動填寫單個文本框而不支持一鍵填寫整個表單,用户需要逐個點擊輸入框,因此那些隱藏起來的文本輸入框就是去了作用。

應對建議

雖然 Viljami 建議關閉網頁自動填充功能,但雷鋒網(公眾號:雷鋒網)宅客頻道認為這未免有些因噎廢食的意思。自動填寫功能可以用,但建議用户在使用該功能前確認網站是否可信任,切勿在來歷不明的小網站使用,以免遭遇釣魚。

對於懂技術又不怕麻煩的人,在小網站使用自動填寫功能時,不妨花幾秒鐘手動檢查一下網頁源代碼。不過話説回來,既然都不怕麻煩地檢查代碼了,為何不直接手動填寫呢……


雷鋒網原創文章,未經授權禁止轉載。詳情見轉載須知



資料來源:雷鋒網
作者/編輯:謝幺

留言


請按此登錄後留言。未成為會員? 立即註冊
    快捷鍵:←
    快捷鍵:→