0
当你在注册新账号,或者填写收货地址时,大堆信息是否让你头疼?所幸的是,大多数浏览器都自带了的自动填充表单的功能,一秒钟就能帮你填好所有的所有输入框。
可是,最近一个芬兰的网页开发者和黑客 Viljami Kuosmanen 发现了一个自动填写表单功能重大的潜在安全漏洞,他表示诸如 Chrome、Safari 和 Opera 等浏览器,或是 LastPass 这样带自动填充功能的浏览器插件,都可能会泄露用户的隐私。
一般来说,在使用自动填充功能之前,用户需要提前把需要自动填充的个人信息存储在浏览器或者工具中,以 Chrome 浏览器为例:
其自动填写的信息包括邮编、详细地址、组织(公司)、用户名、电话、和电子邮件等,通常可用来快速填写收货地址。
再以自动登录工具 Lastpass 为例,它提供了更为详细的资料填写项目,几乎可以帮你自动填写能想到的所有资料,包括除了基础的用户名、姓名、生日、社会保险号码(身份证号),还有详细地址、联系人、银行账户等等。
然而这些 Viljami 发现,通过极其简单的手段将一些文本输入框隐藏起来,就可以在你不知情的情况下,得到你表单中的所有个人资料。
为了实际展示该功能,Viljami 做了一个简单的演示 Demo 网站,看起来,网页上只要求输入姓名和邮箱,但是按提交键后,通过浏览器抓取信息显示,除了页面上能看到的两项信息以外,用户的电话、地址等信息也被上传了。
【图片来自:Viljami 提供的演示 demo 】
雷锋网宅客频道按照这种思路绘制了一个钓鱼网站骗取用户信息的示意图如下:
钓鱼网站会将一些用户电话、地址等信息的输入框隐藏起来,虽然用户的肉眼看不到,但是自动填写程序能捕捉到,并在用户不知情的情况下“帮” 用户把信息填进去。
据雷锋网了解,喜欢海淘的人经常需要填写如信用卡卡号、有效日期和安全码等信息,此外,人们在参加“特价秒杀”等抢购活动时也需要争分多秒地填写表单,这时许多人会 选择将住址、电话等资料保存在浏览器或插件中,以便自动填充。
一旦用户在钓鱼网站使用了自动填充功能,就很可能会泄露自己的详细地址、信用卡号、安全码等信息。
问题的发现者 Viljami 表示:“该问题在 Chromium 内核中存在6年之久,这就是我不爱用自动填写表单的原因。”
他还表示 Mozilla 的 Firefox 火狐浏览器并没有此类问题,因为它只支持自动填写单个文本框而不支持一键填写整个表单,用户需要逐个点击输入框,因此那些隐藏起来的文本输入框就是去了作用。
虽然 Viljami 建议关闭网页自动填充功能,但雷锋网宅客频道认为这未免有些因噎废食的意思。自动填写功能可以用,但建议用户在使用该功能前确认网站是否可信任,切勿在来历不明的小网站使用,以免遭遇钓鱼。
对于懂技术又不怕麻烦的人,在小网站使用自动填写功能时,不妨花几秒钟手动检查一下网页源代码。不过话说回来,既然都不怕麻烦地检查代码了,为何不直接手动填写呢……
雷峰网原创文章,未经授权禁止转载。详情见转载须知。