小惡魔用 Chrome 親身試驗,確實在研究人員開發的<概念式驗證網頁>只輸入了姓名和 Email 之外還會多會取得一些資訊。雖然從這個<概念式驗證網頁>初步看起來拿到我的其他額外的資訊並不是很正確,但是確實足夠證明伺服端是可以取得未經過你同意,且在不知情的情況下獲得更多個人資料。

我想,就是別在陌生網站上使用自動填入的功能,或者乾脆關閉自動填入的功能,每次都乖乖地打一遍吧,如果你還要更龜毛的話,可以設定關閉瀏覽器後清除所有的資料。

小心! 瀏覽器自動填入功能可能讓你儲存的個資被偷光光
iThome

研究人員發現 Chrome 與 Safari 等瀏覽器的自動填入功能可能潛藏網釣風險,駭客可藏匿表格資訊,看起來只要求填入姓名及電子郵件,實際上卻可獲得使用者所儲存的所有個資,例如國別、地址、電話號碼。

芬蘭的網頁開發人員 Viljami Kuosmanen 近日發現,包括 Chrome 與 Safari 等瀏覽器的自動填入(autofill)功能暗藏網釣風險,可能會曝露未經使用者同意的個人資訊。


瀏覽器的自動填入功能可協助使用者填寫各種基於固定資訊的內容,諸如使用者的名字、電子郵件帳號、地址、電話號碼及信用卡等,而 Kuosmanen 卻發現,駭客得以藏匿表格資訊,外表看起來只要求使用者填入少量資訊,但其實可獲得使用者所儲存的所有個人資訊。

Kuosmanen 設計了一個概念式驗證網頁來示範該風險,網頁上只要求使用者輸入姓名與電子郵件帳號,當使用者採用自動填入功能之後,會發現除了這兩項資訊外,國別、地址或電話號碼等資訊皆已外洩。

Kuosmanen 表示,他原本只是想調查 Chrome 的自動填入功能在某個電子商務網站上總會填錯格的原因,才於不經意中發現該風險。

目前 Kuosmanen 只確定 Google Chrome 與蘋果 Safari 瀏覽器含有該風險,並未測試同樣具備自動填入功能的 Opera,有安全專家認為不論是 Opera 或 LastPass 等用來儲存密碼的瀏覽器擴充程式可能都無法倖免。

由於現階段 Firefox 的自動填入功能尚未支援多框填入,因而逃過一劫。

轉貼自:藍色小惡魔《Google》

2017-02-05:0

arrow
arrow

    藍色小惡魔 發表在 痞客邦 留言(0) 人氣()