浏览器“自动填充”功能存漏洞 或泄露个人信息--网盾宝
浏览器“自动填充”功能存漏洞 或泄露个人信息--网盾宝
关 注 行 业 动 态 助 力 企 业 发 展
当前位置:
资讯详情
浏览器“自动填充”功能存漏洞 或泄露个人信息
2017-01-17 10:48:33
当你在注册新账号,或者填写收货地址时,大堆信息是否让你头疼?所幸的是,大多数
浏览器
都自带了的自动填充表单的功能,一秒钟就能帮你填好所有的所有输入框。
它能记录下你曾填写过的信息,例如姓名、身份证号码、银行卡卡号和密码等。
全部资讯
行业资讯
安全百科
企业动态
信息泄露
关于网络安全 您要关注《瓦森纳协定》
DDoS 网络攻击业务利润率高达 95% 互联网金融如何安全防御
在线咨询
套餐购买
智能安全云引擎
安全运维
网站渗透测试
抗DDos攻击
金融安全解决方案
政府安全解决方案
然而,事实证明,攻击者可以利用这项功能将你的隐私
给攻击者或者恶意的第三方。
最近一个芬兰的网页开发者和黑客 Viljami Kuosmanen 发现了一个自动填写表单功能重大的潜在安全漏洞,
展示了攻击者操纵并利用拥有自动填充功能的浏览器、插件和密码管理器等工具的过程。
他表示诸如
Chrome
、
Safari
和 Opera 等浏览器,或是 LastPass 这样带自动填充功能的浏览器插件,都可能会泄露用户的隐私。
自动填表如何泄露你的隐私
一般来说,在使用自动填充功能之前,用户需要提前把需要自动填充的个人信息存储在浏览器或者工具中,以 Chrome 浏览器为例:
其自动填写的信息包括邮编、详细地址、组织(公司)、用户名、电话、和电子邮件等,通常可用来快速填写收货地址。
再以自动登录工具 Lastpass 为例,
它提供了更为详细的资料填写项目,几乎可以帮你自动填写能想到的所有资料,包括除了基础的用户名、姓名、生日、社会保险号码(身份证号),还有详细地址、联系人、银行账户等等。
Viljami 发现,
通过极其简单的手段将一些文本输入框隐藏起来,就可以在你不知情的情况下,得到你表单中的所有个人资料。
为了实际展示该功能,Viljami 做了一个简单的演示 Demo 网站,看起来,网页上只要求输入姓名和邮箱,但是按提交键后,通过浏览器抓取信息显示,除了页面上能看到的两项信息以外,用户的电话、地址等信息也被上传了。
【Viljami 提供的演示 demo 】
因此,如果用户的浏览器中带有自动填充功能,当他们填写表格并提交后,就会将所有信息,包括隐藏的六项个人信息发送给肆无忌惮的网络钓鱼者。虽然六项个人信息在页面上不显示,但它们已经被自动填充。
纵使网站没有使用
HTTPS 时,自动填充付款信息会在 Chrome 中触发警告,Kuosmanen仍然可以通过添加更多隐藏的隐私信息,包括用户的地址、信用卡号及有效期和 CVV 码,让这种攻击变得更加糟糕。
Mozilla
的
Firefox
浏览器用户不需要担心这种攻击,因为它没有多输入框自动填充系统,并且强制用户手动在每个输入框内选择预填充数据。
因此,
Mozilla
的主要安全工程师
Daniel Veditz
说,
Firefox
浏览器不会被程序化手段欺骗去自动填充文本框。
如何关闭自动填充功能
让自己免受网络钓鱼者攻击最简单的方法是在你的浏览器、密码管理器或者扩展设置中禁用表单自动填充功能。
自动填充功能通常是默认是启用的。这里教你如何在 Chrome 中关闭它:进入“设置”→显示高级设置(在页面底部),在
密码和表单
部分取消选中启用自动填充功能:
在 Opera 中,进入“设置”→自动填充,把它关掉。
在 Safari 中,进入“偏好设置”,点击自动填充来关掉。
上一篇:
下一篇:
网盾宝,让互联网世界更安全
ARE YOU READY?
产品服务
解决方案
关于我们
帮助中心
扫一扫 关注我们
业务咨询、商务合作
3217416518
技术支持邮箱
tech@wangdunbao.com
友情链接:
新四板
Copyright @ 2012-2015 闽ICP备15003670号-1 厦门融数科创信息技术服务有限公司旗下-网盾宝
0592-5951658