浏览器自动填充存漏洞,可能泄露你的个人隐私


发布人:admin分类:漏洞播报浏览量:29发布时间:2017-11-29

当你在注册新账号,或者填写收货地址时,大堆信息是否让你头疼?所幸的是,大多数浏览器都自带了的自动填充表单的功能,一秒钟就能帮你填好所有的所有输入框。

可是,最近一个芬兰的网页开发者和黑客 Viljami Kuosmanen 发现了一个自动填写表单功能重大的潜在安全漏洞,他表示诸如 Chrome、Safari 和 Opera 等浏览器,或是 LastPass 这样带自动填充功能的浏览器插件,都可能会泄露用户的隐私。

自动填表如何泄露你的隐私

一般来说,在使用自动填充功能之前,用户需要提前把需要自动填充的个人信息存储在浏览器或者工具中,以 Chrome 浏览器为例:

其自动填写的信息包括邮编、详细地址、组织(公司)、用户名、电话、和电子邮件等,通常可用来快速填写收货地址。

浏览器自动填充存漏洞,可能泄露你的个人隐私

再以自动登录工具 Lastpass 为例,它提供了更为详细的资料填写项目,几乎可以帮你自动填写能想到的所有资料,包括除了基础的用户名、姓名、生日、社会保险号码(身份证号),还有详细地址、联系人、银行账户等等。

浏览器自动填充存漏洞,可能泄露你的个人隐私

然而这些 Viljami 发现,通过极其简单的手段将一些文本输入框隐藏起来,就可以在你不知情的情况下,得到你表单中的所有个人资料。

为了实际展示该功能,Viljami 做了一个简单的演示 Demo 网站,看起来,网页上只要求输入姓名和邮箱,但是按提交键后,通过浏览器抓取信息显示,除了页面上能看到的两项信息以外,用户的电话、地址等信息也被上传了。

浏览器自动填充存漏洞,可能泄露你的个人隐私

【图片来自:Viljami 提供的演示 demo  】

宅客频道按照这种思路绘制了一个钓鱼网站骗取用户信息的示意图如下:

浏览器自动填充存漏洞,可能泄露你的个人隐私

钓鱼网站会将一些用户电话、地址等信息的输入框隐藏起来,虽然用户的肉眼看不到,但是自动填写程序能捕捉到,并在用户不知情的情况下“帮” 用户把信息填进去。

据了解,喜欢海淘的人经常需要填写如信用卡卡号、有效日期和安全码等信息,此外,人们在参加“特价秒杀”等抢购活动时也需要争分多秒地填写表单,这时许多人会 选择将住址、电话等资料保存在浏览器或插件中,以便自动填充。

一旦用户在钓鱼网站使用了自动填充功能,就很可能会泄露自己的详细地址、信用卡号、安全码等信息。

问题的发现者 Viljami 表示:“该问题在 Chromium 内核中存在6年之久,这就是我不爱用自动填写表单的原因。”

他还表示 Mozilla 的 Firefox 火狐浏览器并没有此类问题,因为它只支持自动填写单个文本框而不支持一键填写整个表单,用户需要逐个点击输入框,因此那些隐藏起来的文本输入框就是去了作用。

应对建议

虽然 Viljami 建议关闭网页自动填充功能,但(公众号:)宅客频道认为这未免有些因噎废食的意思。自动填写功能可以用,但建议用户在使用该功能前确认网站是否可信任,切勿在来历不明的小网站使用,以免遭遇钓鱼。

对于懂技术又不怕麻烦的人,在小网站使用自动填写功能时,不妨花几秒钟手动检查一下网页源代码。不过话说回来,既然都不怕麻烦地检查代码了,为何不直接手动填写呢……

浏览器自动填充存漏洞,可能泄露你的个人隐私

被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:22008136(PV) 页面执行时间:85.67(MS)
  • xml
  • 网站地图