昨天開始國外許多報導提到一個「可能已經存在多年」的瀏覽器漏洞(或者說設計缺陷)被發現,釣魚網站有可能利用這個設計缺陷,在用戶不知情的情況下,拿到使用者的住址、電話、信箱,甚至信用卡資料。
根據芬蘭開發者 Viljami Kuosmanen 提到,這個缺陷出現在 Chrome、 Safari、 Opera 等具備自動填表功能的瀏覽器中,以及像是 Lastpass 等具備網頁自動填表功能的瀏覽器套件中,你在使用這些自動填表功能時,可能不小心把原本沒有想要輸入的信用卡或電話資料洩漏出去。
原理如下,其實很簡單。
- 釣魚網站如何用「隱藏的」欄位偷走你的資料?
釣魚網站可以設計一個簡單的填表機制,例如一個網頁心理測驗小遊戲「看起來」只要你填寫姓名與郵件,但是其實釣魚網站把「其他隱私表格」,像是信用卡、地址與電話欄位「隱藏起來」,讓你看不到。
這時候當你要填寫郵件時,瀏覽器自動填表功能會出現提示詢問你:「要不要幫你自動填完?」
如果你選擇要,那瀏覽器其實會把這個網頁可以填寫的表格一次幫你填完,你看起來好像只填了郵件,但其他隱藏的地址電話欄位也已經被自動輸入(只是你看不到),然後你的隱私資料就被你自己親手送出了。
如果使用 Lastpass這類密碼管理工具,也有自動填表功能,也有同樣問題。上圖就是我真實使用情況,我來到這個假網站,看到兩個填寫欄位,但是 Lastpass 卻提示我有三個表格可以填寫,這正是有其他欄位被隱藏了,如果我選擇一次自動填入,那不想洩漏的隱私也就被我自己洩漏出去。
芬蘭開發者 Viljami Kuosmanen 還設計了一個「 Demo 網站」讓你「試試看」這個漏洞,想研究的朋友可以前往試試看。(下圖中因為我一直習慣關閉自動填表功能,所以其他隱藏欄位沒有被填入資料)
- 有沒有辦法防止這樣的隱私洩漏呢?
有三個步驟可以防止這樣的釣魚網站與隱私洩露。
第一,不要在不知名網站填寫表格,尤其不要在填寫表格時使用自動輸入。像是那些網頁小測驗都可能有風險。
第二,如果你擔心自己不小心,那就「先關閉」瀏覽器的自動填表功能,電腦端、手機端都要關閉。
以 Google Chrome 瀏覽器為例,打開「設定」,捲動到下方繼續打開「進階設定」,然後取消勾選「密碼和表單」下面的自動填入選項。
我們現在更常在手機網頁上填寫資料,所以更重要的是到手機的 Chrome 瀏覽器「設定」中,同樣將「自動填入表單」功能關閉。
第三,如果像我一樣使用 Lastpass 這類密碼管理工具,一樣可以關閉自動填表功能,反正真正遇到信任網站時,一樣可以手動開啟快速填表。
現在使用數位裝置最大的威脅,可能已經從早期的病毒,轉變成會偷走你的帳密與隱私的網路釣魚,推薦大家也可以同時閱讀下面的網路安全相關文章:
轉貼本文時禁止修改,禁止商業使用,並且必須註明來自電腦玩物原創作者 esor huang(異塵行者),及附上原文連結:新釣魚攻擊利用瀏覽器自動填表偷走你的隱私,如何關閉他教學
Source:: playpcesor.com