close

每當註冊一個新網站,又或者填寫收貨位址的時候,看著一大堆的文字輸入框就覺得頭痛。此時,相信大部分人都會用到瀏覽器的自動填寫(Autofill)功能,一鍵填完如姓名、電話、地址等資料,能省下不少時間。

不過,就在最近,一個芬蘭的網頁開發者和駭客 Viljami Kuosmanen 發現了一個重大的潛在安全漏洞,指出像 ChromeSafari Opera 這樣帶自動填寫功能的瀏覽器,以及提供同樣功能的外掛和工具(如 LastPass)會洩露用戶的隱私。

Photo published for Browser autofill used to steal personal details in new phishing attack

駭客以簡單的手段,就能夠選取隱藏頁面上的字檔輸入框,而這就意味著瀏覽器會在你不知情的情況下,把隱藏的輸入框都自動填寫了。如下圖 Viljami 的示範,雖然測試網頁上只要求輸入姓名和電郵,但是按確定鍵後,抓取資訊察看,除了這兩個資訊,用戶的電話、位址等資訊也上傳了。

雖然自網購興起後,我們的名字、地址、電話等個人資訊就已洩漏得差不多了。但對一些「購物達人」來說,還是經常需要填寫如信用卡卡號、有效日期和安全碼等這些敏感資訊,就涉及個人資金的安全。而更讓人擔心的是,據 Viljami 稱,這個漏洞已經存在多年了。

由於不支援一鍵表單填寫,Firefox 需要用戶逐個點擊輸入框才會給予輸入建議,而他們自然也就點擊不了隱藏的輸入框。除了可以選擇使用 Firefox 避開漏洞,用戶也可以選手動輸入(檢查網頁原始碼也不失為一個方法),或者直接把瀏覽器的自動填寫功能關掉。

而關閉 Chrome 的自動填補功能在設定→打開「顯示進階設定」選單→不要勾取「啟用『自動填入』功能」。

 

arrow
arrow
    全站熱搜

    Win Driver Blog 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄