流行浏览器自动填充功能现漏洞,隐私全泄露

每当注册一个新网站,又或者填写收货地址的时候,看着一大堆的文本输入框就觉得头痛。此时,相信大部分人都会用到浏览器自带的自动填充功能,一键填充如姓名、电话、地址等资料,能够省下不少时间。

澳门新葡亰8455下载app 1

澳门新葡亰8455下载app 2

不过,就在最近,一个芬兰的网页开发者和黑客 Viljami Kuosmanen
发现了一个重大的潜在安全漏洞,指出像 Chrome、Safari 和 Opera
这样带自动填充功能的浏览器,以及提供同样功能的插件和工具(如
LastPass)会泄露用户的隐私。

大多数用户在填写网页表单时,曾为填写重复信息而苦恼。为满足用户需求,Google
Chrome
等主流浏览器提供了“自动填充”功能,它能记录下你曾填写过的信息,例如姓名、身份证号码、银行卡卡号和密码等。以后遇见同样问题,它将自动填充。

黑客通过简单的手段,就能够选择性隐藏页面上的文本输入框,而这,就意味着浏览器会在你不知情的情况下,把隐藏的输入框都给自动填充了。如下图
Viljami
的演示,虽然测试网页上只要求输入姓名和邮箱,但是按提交键后,抓取信息显示,除了这两个信息以外,用户的电话、地址等信息也上传了。

然而,事实证明,攻击者可以利用这项功能将你的隐私信息泄露给攻击者或者恶意的第三方。

澳门新葡亰8455下载app 3

芬兰的 Web 开发者和白帽黑客 Viljami Kuosmanen 在 GitHub 发布了一个
Demo,展示了攻击者操纵并利用拥有自动填充功能的浏览器、插件和密码管理器等工具的过程。

虽然自网购兴起后,我们的名字、地址、电话等个人信息就已经泄漏得差不多了。但对于一些海淘达人来说,还会经常需要填写如信用卡卡号、有效日期和安全码等这些敏感信息,就涉及到了个人资金的安全。而更让人担心的是,据
Viljami 称,这个漏洞已经存在多年了。

尽管这个诡计已在 2013 年首次被 ElevenPaths 的安全分析师 Ricardo Martin
Rodriguez 发现 ,但是 Google至今尚未采取任何行动处理“自动填充”这一弱点。

澳门新葡亰8455下载app 4

澳门新葡亰8455下载app,PoC 网页
看起来是一个仅包含两个输入框——姓名和邮箱的简单网页。实际上,很多信息已经被隐藏,其中包括电话号码,组织,地址,邮编,城市以及国家。

由于不支持一键表单填充,Firefox
需要用户逐个点击输入框才会给出输入建议,而他们自然也就点击不了隐藏的输入框。除了可以选择使用
Firefox
避开漏洞以外,用户也可以选择手动输入(检查网页源代码也不失为一个方法),或者直接把浏览器的自动填充功能给关掉。

浑然不知泄漏个人信息

稿源:爱范儿 | 题图:The
Guardian

澳门新葡亰8455下载app 5

因此,如果用户的浏览器中带有自动填充功能,当他们填写表格并提交后,就会将所有信息,包括隐藏的六项个人信息发送给肆无忌惮的网络钓鱼者。虽然六项个人信息在页面上不显示,但它们已经被自动填充。

你也可以使用 Kuosmanen 的 PoC 网页 测试你的浏览器和插件的自动填充功能,

网站地图xml地图