大多数用户在填写网页表单时,曾为填写重复信息而苦恼。为满足用户需求,Google Chrome 等主流浏览器提供了“自动填充”功能,它能记录下你曾填写过的信息,例如姓名、身份证号码、银行卡卡号和密码等。以后遇见同样问题,它将自动填充。
然而,事实证明,攻击者可以利用这项功能将你的隐私信息泄露给攻击者或者恶意的第三方。
芬兰的 Web 开发者和白帽黑客 Viljami Kuosmanen 在 GitHub 发布了一个 Demo,展示了攻击者操纵并利用拥有自动填充功能的浏览器、插件和密码管理器等工具的过程。
尽管这个诡计已在 2013 年首次被 ElevenPaths 的安全分析师 Ricardo Martin Rodriguez 发现 ,但是 Google至今尚未采取任何行动处理“自动填充”这一弱点。
PoC 网页 看起来是一个仅包含两个输入框——姓名和邮箱的简单网页。实际上,很多信息已经被隐藏,其中包括电话号码,组织,地址,邮编,城市以及国家。
浑然不知泄漏个人信息
因此,如果用户的浏览器中带有自动填充功能,当他们填写表格并提交后,就会将所有信息,包括隐藏的六项个人信息发送给肆无忌惮的网络钓鱼者。虽然六项个人信息在页面上不显示,但它们已经被自动填充。
你也可以使用 Kuosmanen 的 PoC 网页 测试你的浏览器和插件的自动填充功能,
纵使网站没有使用 HTTPS 时,自动填充付款信息会在 Chrome 中触发警告,Kuosmanen仍然可以通过添加更多隐藏的隐私信息,包括用户的地址、信用卡号及有效期和 CVV 码,让这种攻击变得更加糟糕。
Kuosmanen 攻击对主流浏览器和自动填充工具都非常不利,其中包括 Google Chrome, Apple Safari, Opera, 甚至 当下流行的密码管理工具 LastPass。
Mozilla 的 Firefox 浏览器用户不需要担心这种攻击,因为它没有多输入框自动填充系统,并且强制用户手动在每个输入框内选择预填充数据。
因此,Mozilla 的主要安全工程师 Daniel Veditz 说,Firefox 浏览器不会被程序化手段欺骗去自动填充文本框。
如何关闭自动填充功能
让自己免受网络钓鱼者攻击最简单的方法是在你的浏览器、密码管理器或者扩展设置中禁用表单自动填充功能。
自动填充功能通常是默认是启用的。这里教你如何在 Chrome 中关闭它:进入“设置”→显示高级设置(在页面底部),在密码和表单部分取消选中启用自动填充功能
- 在 Opera 中,进入“设置”→自动填充,把它关掉。
- 在 Safari 中,进入“偏好设置”,点击自动填充来关掉。