浏览器“自动填充”功能存漏洞 或泄露个人信息--网盾宝

浏览器“自动填充”功能存漏洞 或泄露个人信息

2017-01-17 10:48:33

当你在注册新账号,或者填写收货地址时,大堆信息是否让你头疼?所幸的是,大多数浏览器都自带了的自动填充表单的功能,一秒钟就能帮你填好所有的所有输入框。它能记录下你曾填写过的信息,例如姓名、身份证号码、银行卡卡号和密码等。然而,事实证明,攻击者可以利用这项功能将你的隐私信息泄露给攻击者或者恶意的第三方。

最近一个芬兰的网页开发者和黑客 Viljami Kuosmanen 发现了一个自动填写表单功能重大的潜在安全漏洞,展示了攻击者操纵并利用拥有自动填充功能的浏览器、插件和密码管理器等工具的过程。他表示诸如 ChromeSafari 和 Opera 等浏览器,或是 LastPass 这样带自动填充功能的浏览器插件,都可能会泄露用户的隐私。


自动填表如何泄露你的隐私

一般来说,在使用自动填充功能之前,用户需要提前把需要自动填充的个人信息存储在浏览器或者工具中,以 Chrome 浏览器为例:其自动填写的信息包括邮编、详细地址、组织(公司)、用户名、电话、和电子邮件等,通常可用来快速填写收货地址。

再以自动登录工具 Lastpass 为例,它提供了更为详细的资料填写项目,几乎可以帮你自动填写能想到的所有资料,包括除了基础的用户名、姓名、生日、社会保险号码(身份证号),还有详细地址、联系人、银行账户等等。

Viljami 发现,通过极其简单的手段将一些文本输入框隐藏起来,就可以在你不知情的情况下,得到你表单中的所有个人资料。

为了实际展示该功能,Viljami 做了一个简单的演示 Demo 网站,看起来,网页上只要求输入姓名和邮箱,但是按提交键后,通过浏览器抓取信息显示,除了页面上能看到的两项信息以外,用户的电话、地址等信息也被上传了。

【Viljami 提供的演示 demo  】

因此,如果用户的浏览器中带有自动填充功能,当他们填写表格并提交后,就会将所有信息,包括隐藏的六项个人信息发送给肆无忌惮的网络钓鱼者。虽然六项个人信息在页面上不显示,但它们已经被自动填充。

纵使网站没有使用 HTTPS 时,自动填充付款信息会在 Chrome 中触发警告,Kuosmanen仍然可以通过添加更多隐藏的隐私信息,包括用户的地址、信用卡号及有效期和 CVV 码,让这种攻击变得更加糟糕。

Mozilla Firefox 浏览器用户不需要担心这种攻击,因为它没有多输入框自动填充系统,并且强制用户手动在每个输入框内选择预填充数据。

因此,Mozilla 的主要安全工程师 Daniel Veditz 说,Firefox 浏览器不会被程序化手段欺骗去自动填充文本框。

如何关闭自动填充功能

让自己免受网络钓鱼者攻击最简单的方法是在你的浏览器、密码管理器或者扩展设置中禁用表单自动填充功能。

自动填充功能通常是默认是启用的。这里教你如何在 Chrome 中关闭它:进入“设置”→显示高级设置(在页面底部),在密码和表单部分取消选中启用自动填充功能:在 Opera 中,进入“设置”→自动填充,把它关掉。在 Safari 中,进入“偏好设置”,点击自动填充来关掉。