1.媒体来源:
iThome
小心! 浏览器自动填入功能可能让你储存的个资被偷光光
研究人员发现Chrome与Safari等浏览器的自动填入功能可能潜藏网钓风险,骇客可藏匿表
格资讯,看起来只要求填入姓名及电子邮件,实际上却可获得使用者所储存的所有个资,
例如国别、地址、电话号码。
按赞加入iThome粉丝团
文/陈晓莉 | 2017-01-12发表
看似只要求填写姓名、电子邮件两项资料,实际上,骇客藏匿了表格资料取得自动填入所
储存的所有个资。
图片来源:
https://goo.gl/rlxN6t
Kuosmanen
芬兰的网页开发人员Viljami Kuosmanen近日发现,包括Chrome与Safari等浏览器的自动
填入(autofill)功能暗藏网钓风险,可能会曝露未经使用者同意的个人资讯。
浏览器的自动填入功能可协助使用者填写各种基于固定资讯的内容,诸如使用者的名字、
电子邮件帐号、地址、电话号码及信用卡等,而Kuosmanen却发现,骇客得以藏匿表格资
讯,外表看起来只要求使用者填入少量资讯,但其实可获得使用者所储存的所有个人资讯
。
Kuosmanen设计了一个概念式验证网页(主图)来示范该风险,网页上只要求使用者输入姓
名与电子邮件帐号,当使用者采用自动填入功能之后,会发现除了这两项资讯外,国别、
地址或电话号码等资讯皆已外泄。
Kuosmanen表示,他原本只是想调查Chrome的自动填入功能在某个电子商务网站上总会填
错格的原因,才于不经意中发现该风险。
目前Kuosmanen只确定Google Chrome与苹果Safari浏览器含有该风险,并未测试同样具备
自动填入功能的Opera,有安全专家认为不论是Opera或LastPass等用来储存密码的浏览器
扩充程式可能都无法幸免。
由于现阶段Firefox的自动填入功能尚未支援多框填入,因而逃过一劫。
加映: 新钓鱼攻击利用浏览器自动填表偷走你的隐私,如何关闭他教学:
https://goo.gl/IlEKDM
4.完整新闻连结 (或短网址):
http://www.ithome.com.tw/news/111135
5.备注:
请关闭自动填入或登入功能