浏览器自动填充表单功能可真的是很方便的,有了这个功能我们就不用在登录常用网站时频繁输入账号密码了,因为自动填充表单功能可以自动地帮我们填入账号和密码,自动登录,很方便,然而,最近芬兰黑客发现这不太安全,浏览器自动填充表单数据库易被盗。
2017年1月初的时候,芬兰网站开发者和黑客 Viljami Kuosmanen 发现了浏览器自动填写表单数据功能存在安全漏洞,包括谷歌Chrome浏览器、苹果Safari浏览器等国际知名浏览器都存在该漏洞,包括 LastPass 自动填充功能的浏览器插件也有可能泄露数据。
一般来说,在使用浏览器自动填充表单功能之前,我们需要把网站注册或登录的表单中所需信息存储在浏览器或者插件里,这里面的信息包含:邮编、详细地址、组织(公司)、用户名、电话、和电子邮件等,通常可用来快速填写收货地址。
再来看看 Lastpass 自动填写表单的插件,该插件提供了更为详细的资料填写项目,出来基础的个人信息资料之外,还有用户名、姓名、生日、社会保险号码(身份证号),还有详细地址、联系人、银行账户等等。
然而,viljami发现,这些表单数据可以通过很简单的方法就可以获取到,而且在用户不知情的情况下就得到了你的所有隐私数据。Viljami 做了一个简单的演示 Demo 网站,看起来,网页上只要求输入姓名和邮箱,但是按提交键后,通过浏览器抓取信息显示,除了页面上能看到的两项信息以外,用户的电话、地址等信息也都被上传了。
其实盗取浏览器自动填充表单功能数据库的原理很简单,就是黑客制作的网页是具有全部表单的,包括信用卡卡号、有效日期和安全码等,然后只显示出基本用户数据填入窗口,将其他敏感数据窗口隐藏,这样自动数据填充功能会自动地将所有数据都填上,并发送给网站制作者。
由于不支持一键表单填充,Firefox浏览器 需要用户逐个点击输入框才会给出输入建议,而他们自然也就点击不了隐藏的输入框,因此那些隐藏起来的文本输入框就是去了作用。建议用户在使用该功能前确认网站是否可信任,切勿在来历不明的小网站使用,以免遭遇钓鱼。
0条大神的评论