大多數(shù)用戶在填寫網(wǎng)頁(yè)表單時(shí)，曾為填寫重復(fù)信息而苦惱。為滿足用戶需求，Google Chrome 等主流瀏覽器提供了“自動(dòng)填充”功能，它能記錄下你曾填寫過(guò)的信息，例如姓名、身份證號(hào)碼、銀行卡卡號(hào)和密碼等。以后遇見(jiàn)同樣問(wèn)題，它將自動(dòng)填充。

然而，事實(shí)證明，攻擊者可以利用這項(xiàng)功能將你的隱私信息泄露給攻擊者或者惡意的第三方。

芬蘭的 Web 開發(fā)者和白帽黑客 Viljami Kuosmanen 在 GitHub 發(fā)布了一個(gè) Demo，展示了攻擊者操縱并利用擁有自動(dòng)填充功能的瀏覽器、插件和密碼管理器等工具的過(guò)程。

盡管這個(gè)詭計(jì)已在 2013 年首次被 ElevenPaths 的安全分析師 Ricardo Martin Rodriguez 發(fā)現(xiàn) ，但是 Google至今尚未采取任何行動(dòng)處理“自動(dòng)填充”這一弱點(diǎn)。

PoC 網(wǎng)頁(yè) 看起來(lái)是一個(gè)僅包含兩個(gè)輸入框——姓名和郵箱的簡(jiǎn)單網(wǎng)頁(yè)。實(shí)際上，很多信息已經(jīng)被隱藏，其中包括電話號(hào)碼，組織，地址，郵編，城市以及國(guó)家。

渾然不知泄漏個(gè)人信息

因此，如果用戶的瀏覽器中帶有自動(dòng)填充功能，當(dāng)他們填寫表格并提交后，就會(huì)將所有信息，包括隱藏的六項(xiàng)個(gè)人信息發(fā)送給肆無(wú)忌憚的網(wǎng)絡(luò)釣魚者。雖然六項(xiàng)個(gè)人信息在頁(yè)面上不顯示，但它們已經(jīng)被自動(dòng)填充。

你也可以使用 Kuosmanen 的 PoC 網(wǎng)頁(yè) 測(cè)試你的瀏覽器和插件的自動(dòng)填充功能，

縱使網(wǎng)站沒(méi)有使用 HTTPS 時(shí)，自動(dòng)填充付款信息會(huì)在 Chrome 中觸發(fā)警告，Kuosmanen仍然可以通過(guò)添加更多隱藏的隱私信息，包括用戶的地址、信用卡號(hào)及有效期和 CVV 碼，讓這種攻擊變得更加糟糕。

Kuosmanen 攻擊對(duì)主流瀏覽器和自動(dòng)填充工具都非常不利，其中包括 Google Chrome, Apple Safari, Opera, 甚至 當(dāng)下流行的密碼管理工具 LastPass。

Mozilla 的 Firefox 瀏覽器用戶不需要擔(dān)心這種攻擊，因?yàn)樗鼪](méi)有多輸入框自動(dòng)填充系統(tǒng)，并且強(qiáng)制用戶手動(dòng)在每個(gè)輸入框內(nèi)選擇預(yù)填充數(shù)據(jù)。

因此，Mozilla 的主要安全工程師 Daniel Veditz 說(shuō)，F(xiàn)irefox 瀏覽器不會(huì)被程序化手段欺騙去自動(dòng)填充文本框。

如何關(guān)閉自動(dòng)填充功能

讓自己免受網(wǎng)絡(luò)釣魚者攻擊最簡(jiǎn)單的方法是在你的瀏覽器、密碼管理器或者擴(kuò)展設(shè)置中禁用表單自動(dòng)填充功能。

自動(dòng)填充功能通常是默認(rèn)是啟用的。這里教你如何在 Chrome 中關(guān)閉它：進(jìn)入“設(shè)置”→顯示高級(jí)設(shè)置(在頁(yè)面底部)，在密碼和表單部分取消選中啟用自動(dòng)填充功能

• 在 Opera 中，進(jìn)入“設(shè)置”→自動(dòng)填充，把它關(guān)掉。
• 在 Safari 中，進(jìn)入“偏好設(shè)置”，點(diǎn)擊自動(dòng)填充來(lái)關(guān)掉。