我们知道,很多人在各网上平台注册账号时,都要填写一大堆的繁琐的表单信息,特别是在移动设备上。为了使得整个录入过程更快捷,Google Chrome和其他主流浏览器提供“自动填充”功能,可根据您以前在类似字段中输入的数据自动填写网络表单。
但是,事实证明,黑客可以针对您使用此自动填充功能,并诱使您将您的私人信息泄露给黑客。芬兰一位白帽黑客Viljami Kuosmanen在GitHub上发布了一个演示,展示了攻击者如何利用浏览器、插件和密码管理器等工具提供的自动填充功能。
虽然这个技巧最早是在2013年的ElevenPaths的安全分析师里卡多·马丁·罗德里格斯(Ricardo Martin Rodriguez)发现的,但似乎Google还没有做任何处理自动填充功能的漏洞。上述演示的网站包含一个简单的在线网络表单,只有两个字段:名称和电子邮件。 但是,在用户不可见的地方还隐藏着许多字段,包括电话号码、机构、地址、邮政编码、城市和国家。因此,如果在浏览器中配置了自动填充配置文件的用户填写了这个简单的表单并点击了提交按钮,他们将会发送所有的字段,包括这些隐藏在页面上但实际存在于页面上的六个字段也会得到填写并发送到恶意的钓鱼者。您还可以使用Kuosmanen分享的PoC代码来测试浏览器的自动填充功能。
Kuosmanen的攻击程序主要针对各大主流浏览器的自动填充工具,包括Google Chrome、Apple Safari、Opera,甚至很受欢迎的密码管理器LastPass(同时还有基于浏览器的账号自动登录/退出的LastPass插件版本)。火狐浏览器(Firefox)用户不需要像其他浏览器那样担心这种特定的攻击,因为它并没有跨网站的自动填充功能,这也使得用户不得不手动选择每个框的预填充数据。
保护自己免受此类网络钓鱼攻击的最简单方法是在浏览器,密码管理器或扩展设置中禁用表单自动填充功能。默认情况下,自动填充功能是打开的,以下介绍如何关闭各大主流浏览器的自动填充功能。
1. Chrome中,点击“设置”-“高级”,在密码和表单下,取消选中启用自动填充框。
2. 360浏览器,点击地址栏后的“工具”-“选项”,在“个人资料”标签点击“自动填充选项”按钮,接着取消勾选“启用自动填充功能后,只需点击一次即可填写多个网络表单”复选框。
3. IE浏览器,点击地址栏后的“工具”-“Internet选项”,在“内容”中点击“设置”按钮,取消勾选“表单”、“表单上的用户名和密码”,点击“确定”按钮。
4. iPhone Safari中,进入“设置”-“自动填充”,然后单击自动填充将其关闭。
5. 大部分安卓手机的浏览器也都有自动填充功能,以某手机自带浏览器为例,打开手机浏览器,点击“设置”-“高级设置”,取消“自动填充表单数据”即可。
返回搜狐,查看更多
责任编辑:
