一不小心就會說漏嘴!瀏覽器自動輸入的功能被爆有重大安全風險

評論
評論

本文獲合作媒體 ifanr 授權轉載。

每當註冊一個新網站,又或者填寫收貨地址的時候,看著一大堆的文字輸入框就覺得頭痛。此時,相信大部分人都會用到瀏覽器內建的自動填入功能(autofill、autocomplete),讓瀏覽器幫你填入記憶過的姓名、電話、地址等資料,能夠省下不少時間。

password

(圖片來自:Popular Mechanics )

不過,就在最近,一個芬蘭的網頁開發者和駭客 Viljami Kuosmanen 發現了一個重大的潛在安全漏洞,他指出像 Chrome、Safari 和 Opera 這樣內建自動填入功能的瀏覽器,以及提供同樣功能的外掛和工具(如 LastPass)會洩露用戶的隱私。

駭客通過簡單的手段,就能夠選擇性隱藏頁面上的文字輸入框,而這就意味著瀏覽器會在你不知情的情況下,把隱藏的輸入框都給自動填進資料。如下圖 Viljami 的示範,雖然測試網頁上只要求輸入姓名和郵件信箱,但是點擊送出按鈕後,除了這兩個資訊以外,用戶的電話、地址等資訊也上傳了。

autofill-feature

(圖片來自:Twitter )

雖然自網購興起後,我們的名字、地址、電話等個人資訊就已經洩漏得差不多了。但對於一些網購達人來說,還會經常需要填寫如信用卡卡號、有效日期和安全碼等這些敏感資訊,就涉及到了個人金融與信用的安全。而更讓人擔心的是,據 Viljami 稱,這個漏洞已經存在多年了。

autofill_clickbait

Firefox 算是比較安全的瀏覽器,由於不支持一鍵表單填入,Firefox 需要用戶逐個點擊輸入框才會給出輸入建議,他們自然也就點擊不了隱藏的輸入框。所以除了可以選擇使用 Firefox 避開漏洞以外,用戶也可以選擇手動輸入(檢查網頁源代碼也不失為一個方法),或者直接把瀏覽器的自動填入功能給關掉。

關閉 Chrome 的自動填入功能:設定 – 點擊進階設定 – 將密碼和表單的打勾取消

2017-01-11_205143

相關文章

評論