新釣魚攻擊利用瀏覽器自動填表偷走你的隱私,如何關閉他教學


昨天開始國外許多報導提到一個「可能已經存在多年」的瀏覽器漏洞(或者說設計缺陷)被發現,釣魚網站有可能利用這個設計缺陷,在用戶不知情的情況下,拿到使用者的住址、電話、信箱,甚至信用卡資料。

根據芬蘭開發者 Viljami Kuosmanen 提到,這個缺陷出現在 Chrome、 Safari、 Opera 等具備自動填表功能的瀏覽器中,以及像是 Lastpass 等具備網頁自動填表功能的瀏覽器套件中,你在使用這些自動填表功能時,可能不小心把原本沒有想要輸入的信用卡或電話資料洩漏出去。

原理如下,其實很簡單。




  • 釣魚網站如何用「隱藏的」欄位偷走你的資料?

釣魚網站可以設計一個簡單的填表機制,例如一個網頁心理測驗小遊戲「看起來」只要你填寫姓名與郵件,但是其實釣魚網站把「其他隱私表格」,像是信用卡、地址與電話欄位「隱藏起來」,讓你看不到。


這時候當你要填寫郵件時,瀏覽器自動填表功能會出現提示詢問你:「要不要幫你自動填完?」

如果你選擇要,那瀏覽器其實會把這個網頁可以填寫的表格一次幫你填完,你看起來好像只填了郵件,但其他隱藏的地址電話欄位也已經被自動輸入(只是你看不到),然後你的隱私資料就被你自己親手送出了。

如果使用 Lastpass這類密碼管理工具,也有自動填表功能,也有同樣問題。上圖就是我真實使用情況,我來到這個假網站,看到兩個填寫欄位,但是 Lastpass 卻提示我有三個表格可以填寫,這正是有其他欄位被隱藏了,如果我選擇一次自動填入,那不想洩漏的隱私也就被我自己洩漏出去。

芬蘭開發者 Viljami Kuosmanen 還設計了一個「 Demo 網站」讓你「試試看」這個漏洞,想研究的朋友可以前往試試看。(下圖中因為我一直習慣關閉自動填表功能,所以其他隱藏欄位沒有被填入資料)





  • 有沒有辦法防止這樣的隱私洩漏呢?

三個步驟可以防止這樣的釣魚網站與隱私洩露。

第一,不要在不知名網站填寫表格,尤其不要在填寫表格時使用自動輸入。像是那些網頁小測驗都可能有風險。

第二,如果你擔心自己不小心,那就「先關閉」瀏覽器的自動填表功能,電腦端、手機端都要關閉。

以 Google Chrome 瀏覽器為例,打開「設定」,捲動到下方繼續打開「進階設定」,然後取消勾選「密碼和表單」下面的自動填入選項。



我們現在更常在手機網頁上填寫資料,所以更重要的是到手機的 Chrome 瀏覽器「設定」中,同樣將「自動填入表單」功能關閉。



第三,如果像我一樣使用 Lastpass 這類密碼管理工具,一樣可以關閉自動填表功能,反正真正遇到信任網站時,一樣可以手動開啟快速填表。

現在使用數位裝置最大的威脅,可能已經從早期的病毒,轉變成會偷走你的帳密與隱私的網路釣魚,推薦大家也可以同時閱讀下面的網路安全相關文章:

轉貼本文時禁止修改,禁止商業使用,並且必須註明來自電腦玩物原創作者 esor huang(異塵行者),及附上原文連結:新釣魚攻擊利用瀏覽器自動填表偷走你的隱私,如何關閉他教學



留言

  1. 在chrome 裡面,允許或封鎖特定網站的內容設定,也可以管理java script

    回覆刪除
  2. firefox也會碰到同樣問題嗎?

    回覆刪除
    回覆
    1. 根據國外報導的測試(因為我實際上都會關閉自動填表,所以沒辦法立刻做相同測試), Firefox 因為自動填表時不會一次把網頁內所有表格填完,所以沒有這個漏洞

      刪除

張貼留言

相關文章:

這個網誌中的熱門文章

漢語多功能字庫:文字學字典查中文的故事,國文老師必備網站

形色:一秒辨識四千種花草植物,最聰明又有詩意的賞花 App

OpenShot 免費中文版影片剪輯軟體,何必用精簡版的威力導演

免費線上 GIF 動畫製作懶人包:GIF圖還有10種玩法!

Google Maps 我的地圖完全教學!規劃自助旅行攻略

Steam 夏日特賣遊戲怎麼選?25款我私房推薦的特價遊戲評論

Google 雲端硬碟將可備份整台電腦,全新 Backup and Sync 桌面同步軟體近期推出

比 Google 地圖更偉大,七萬多幅百年地圖數位版收藏免費下載

Mori手帳:手機重現手帳創作,輕鬆製作生活感手帳日記可匯出

Google Interland 一款教孩子網路安全的遊戲,但你我都需要