Chrome 和 Safari 均設有自動填寫功能,方便用戶輸入地址和信用卡資料。不過有資訊安全人員指,不法分子可把文字欄位隱藏,這樣用戶便不知道自己的個人資料被自動填入,引發資料外洩危機。
「方法已知道好幾年」
為方便用戶快速填寫資料,Chrome 和 Sarfari 均設有自動填寫功能,可把地址、信用卡和電話自動輸入。不過資安人員 Viljami Kuosmanen 指,該功能可被黑客利用,騙取用戶個人資料。
This is why I don't like autofill in web forms. #phishing #security #infosec pic.twitter.com/mVIZD2RpJ3
— Viljami Kuosmanen ⭐ (@anttiviljami) January 4, 2017
因為黑客可以特製網頁,只顯示姓名和電郵輸入欄,而把地址、信用卡欄隱藏,但瀏覽器仍會把資料填入隱藏的輸入欄,用戶根本不能察覺。從 Kuosmanen 的示範可見,即使表示上只輸入了姓名和電郵,但電郵和地址已暗地傅送出去。雖然該方法是最近才披露,但 Kuosmanen 說他們已知道好幾年了。
如果各位想關閉自動填寫功能,只需到 Chrome 或 Safari 更改設定便可;或者各位可改用不設自動填寫功能的 Firefox 瀏覽器。
Source : Gizmodo