瀏覽器自動填寫功能有漏洞 欄位隱藏仍輸入地址或釀資料外洩

Chrome 和 Safari 均設有自動填寫功能,方便用戶輸入地址和信用卡資料。不過有資訊安全人員指,不法分子可把文字欄位隱藏,這樣用戶便不知道自己的個人資料被自動填入,引發資料外洩危機。

Chrome 和 Safari 均設有自動填寫功能,方便用戶輸入地址和信用卡資料。不過有資訊安全人員指,不法分子可把文字欄位隱藏,這樣用戶便不知道自己的個人資料被自動填入,引發資料外洩危機。

 

「方法已知道好幾年」

為方便用戶快速填寫資料,Chrome 和 Sarfari 均設有自動填寫功能,可把地址、信用卡和電話自動輸入。不過資安人員 Viljami Kuosmanen 指,該功能可被黑客利用,騙取用戶個人資料。

 

因為黑客可以特製網頁,只顯示姓名和電郵輸入欄,而把地址、信用卡欄隱藏,但瀏覽器仍會把資料填入隱藏的輸入欄,用戶根本不能察覺。從 Kuosmanen 的示範可見,即使表示上只輸入了姓名和電郵,但電郵和地址已暗地傅送出去。雖然該方法是最近才披露,但 Kuosmanen 說他們已知道好幾年了。

如果各位想關閉自動填寫功能,只需到 Chrome 或 Safari 更改設定便可;或者各位可改用不設自動填寫功能的 Firefox 瀏覽器。

Source : Gizmodo