新釣魚攻擊利用瀏覽器自動填表偷走你的隱私,如何關閉他教學


昨天開始國外許多報導提到一個「可能已經存在多年」的瀏覽器漏洞(或者說設計缺陷)被發現,釣魚網站有可能利用這個設計缺陷,在用戶不知情的情況下,拿到使用者的住址、電話、信箱,甚至信用卡資料。

根據芬蘭開發者 Viljami Kuosmanen 提到,這個缺陷出現在 Chrome、 Safari、 Opera 等具備自動填表功能的瀏覽器中,以及像是 Lastpass 等具備網頁自動填表功能的瀏覽器套件中,你在使用這些自動填表功能時,可能不小心把原本沒有想要輸入的信用卡或電話資料洩漏出去。

原理如下,其實很簡單。




  • 釣魚網站如何用「隱藏的」欄位偷走你的資料?

釣魚網站可以設計一個簡單的填表機制,例如一個網頁心理測驗小遊戲「看起來」只要你填寫姓名與郵件,但是其實釣魚網站把「其他隱私表格」,像是信用卡、地址與電話欄位「隱藏起來」,讓你看不到。


這時候當你要填寫郵件時,瀏覽器自動填表功能會出現提示詢問你:「要不要幫你自動填完?」

如果你選擇要,那瀏覽器其實會把這個網頁可以填寫的表格一次幫你填完,你看起來好像只填了郵件,但其他隱藏的地址電話欄位也已經被自動輸入(只是你看不到),然後你的隱私資料就被你自己親手送出了。

如果使用 Lastpass這類密碼管理工具,也有自動填表功能,也有同樣問題。上圖就是我真實使用情況,我來到這個假網站,看到兩個填寫欄位,但是 Lastpass 卻提示我有三個表格可以填寫,這正是有其他欄位被隱藏了,如果我選擇一次自動填入,那不想洩漏的隱私也就被我自己洩漏出去。

芬蘭開發者 Viljami Kuosmanen 還設計了一個「 Demo 網站」讓你「試試看」這個漏洞,想研究的朋友可以前往試試看。(下圖中因為我一直習慣關閉自動填表功能,所以其他隱藏欄位沒有被填入資料)





  • 有沒有辦法防止這樣的隱私洩漏呢?

三個步驟可以防止這樣的釣魚網站與隱私洩露。

第一,不要在不知名網站填寫表格,尤其不要在填寫表格時使用自動輸入。像是那些網頁小測驗都可能有風險。

第二,如果你擔心自己不小心,那就「先關閉」瀏覽器的自動填表功能,電腦端、手機端都要關閉。

以 Google Chrome 瀏覽器為例,打開「設定」,捲動到下方繼續打開「進階設定」,然後取消勾選「密碼和表單」下面的自動填入選項。



我們現在更常在手機網頁上填寫資料,所以更重要的是到手機的 Chrome 瀏覽器「設定」中,同樣將「自動填入表單」功能關閉。



第三,如果像我一樣使用 Lastpass 這類密碼管理工具,一樣可以關閉自動填表功能,反正真正遇到信任網站時,一樣可以手動開啟快速填表。

現在使用數位裝置最大的威脅,可能已經從早期的病毒,轉變成會偷走你的帳密與隱私的網路釣魚,推薦大家也可以同時閱讀下面的網路安全相關文章:

轉貼本文時禁止修改,禁止商業使用,並且必須註明來自電腦玩物原創作者 esor huang(異塵行者),及附上原文連結:新釣魚攻擊利用瀏覽器自動填表偷走你的隱私,如何關閉他教學



留言

  1. 在chrome 裡面,允許或封鎖特定網站的內容設定,也可以管理java script

    回覆刪除
  2. firefox也會碰到同樣問題嗎?

    回覆刪除
    回覆
    1. 根據國外報導的測試(因為我實際上都會關閉自動填表,所以沒辦法立刻做相同測試), Firefox 因為自動填表時不會一次把網頁內所有表格填完,所以沒有這個漏洞

      刪除

張貼留言

相關文章:

這個網誌中的熱門文章

十多萬張精美博物學手繪插圖,自然歷史老師免費使用圖鑑圖片

用手機就能把中文廣播、錄音檔轉文字:在 Evernote 做逐字稿

OpenShot 免費中文版影片剪輯軟體,何必用精簡版的威力導演

從 Chrome 換到 Firefox 瀏覽器,一個月後的心得整理

Firefox Quantum 量子瀏覽器新改變總覽,兩倍速進化火狐登場

陽春白雪:一款穿越到古典詩詞世界的台灣音樂節奏遊戲

Google Maps 我的地圖完全教學!規劃自助旅行攻略

Universal Paperclips 風靡玩家的迴紋針遊戲,乃是 AI 警世預言

Google 相簿在我真實生活最常被利用的 13 個高效率案例教學

「時間塊」輕鬆追蹤與養成優質時間習慣 App,我的用法心得