1.媒體來源:
iThome
小心! 瀏覽器自動填入功能可能讓你儲存的個資被偷光光
研究人員發現Chrome與Safari等瀏覽器的自動填入功能可能潛藏網釣風險,駭客可藏匿表
格資訊,看起來只要求填入姓名及電子郵件,實際上卻可獲得使用者所儲存的所有個資,
例如國別、地址、電話號碼。
按讚加入iThome粉絲團
文/陳曉莉 | 2017-01-12發表
看似只要求填寫姓名、電子郵件兩項資料,實際上,駭客藏匿了表格資料取得自動填入所
儲存的所有個資。
圖片來源:
https://goo.gl/rlxN6t
Kuosmanen
芬蘭的網頁開發人員Viljami Kuosmanen近日發現,包括Chrome與Safari等瀏覽器的自動
填入(autofill)功能暗藏網釣風險,可能會曝露未經使用者同意的個人資訊。
瀏覽器的自動填入功能可協助使用者填寫各種基於固定資訊的內容,諸如使用者的名字、
電子郵件帳號、地址、電話號碼及信用卡等,而Kuosmanen卻發現,駭客得以藏匿表格資
訊,外表看起來只要求使用者填入少量資訊,但其實可獲得使用者所儲存的所有個人資訊
。
Kuosmanen設計了一個概念式驗證網頁(主圖)來示範該風險,網頁上只要求使用者輸入姓
名與電子郵件帳號,當使用者採用自動填入功能之後,會發現除了這兩項資訊外,國別、
地址或電話號碼等資訊皆已外洩。
Kuosmanen表示,他原本只是想調查Chrome的自動填入功能在某個電子商務網站上總會填
錯格的原因,才於不經意中發現該風險。
目前Kuosmanen只確定Google Chrome與蘋果Safari瀏覽器含有該風險,並未測試同樣具備
自動填入功能的Opera,有安全專家認為不論是Opera或LastPass等用來儲存密碼的瀏覽器
擴充程式可能都無法倖免。
由於現階段Firefox的自動填入功能尚未支援多框填入,因而逃過一劫。
加映: 新釣魚攻擊利用瀏覽器自動填表偷走你的隱私,如何關閉他教學:
https://goo.gl/IlEKDM
4.完整新聞連結 (或短網址):
http://www.ithome.com.tw/news/111135
5.備註:
請關閉自動填入或登入功能