瀏覽器自動填充功能可能會將您的個人信息泄露給黑客

為了加快整個過程，Google Chrome和其他主流瀏覽器提供了“自動填充”功能，可以根據您之前在類似字段中輸入的數據自動填充web表單。

然而，事實證明，攻擊者可以對您使用此自動填充功能，并誘使您將私人信息泄露給黑客或惡意第三方。

芬蘭網絡開發者和whitehat黑客Viljami Kuosmanen在GitHub上發布了一個演示，展示了攻擊者如何利用大多數瀏覽器、插件和密碼管理器等工具提供的自動填充功能。

盡管如此，這個把戲是由里卡多·馬丁·羅德里格斯2013年，ElevenPaths的安全分析師，但谷歌似乎沒有采取任何措施來解決自動填充功能的弱點。

概念驗證演示網站由一個簡單的在線表單組成，只有兩個字段：名稱和電子郵件。但看不見的是許多隱藏的（看不見的）字段，包括電話號碼、組織、地址、郵政編碼、城市和國家。

在不知不覺中泄露你所有的個人信息

因此，如果在瀏覽器中配置了自動填充配置文件的用戶填寫這個簡單的表單，然后單擊“提交”按鈕，他們將發送所有字段，而不知道頁面上隱藏的六個字段也會被填寫，并發送給不道德的釣魚者。

您還可以使用Kuosmanen的PoC站點測試瀏覽器和擴展自動填充功能。

Kuosmanen可以在用戶看不見的地方添加更多個人字段，包括用戶地址、信用卡號碼、到期日期和CVV，從而使這種攻擊更加嚴重，盡管當網站不提供HTTPS時，自動填寫金融數據表單會在Chrome上觸發警告。

Kuosmanen攻擊針對多種主要瀏覽器和自動填充工具，包括谷歌Chrome、蘋果Safari、Opera，甚至流行的云安全保險庫LastPass。

Mozilla的Firefox用戶無需擔心這種特殊的攻擊，因為該瀏覽器目前沒有多框自動填充系統，并強制用戶手動為每個框選擇預填充數據。

因此，Mozilla首席安全工程師丹尼爾·韋迪茨（Daniel Veditz）說，Firefox瀏覽器不能通過編程的方式來填充文本框。

以下是如何關閉自動填充功能

保護自己免受此類網絡釣魚攻擊的最簡單方法是在瀏覽器、密碼管理器或擴展設置中禁用表單自動填充功能。

默認情況下，自動填充功能處于啟用狀態。以下是如何在Chrome中關閉此功能：

進入設置→；在底部和下方顯示高級設置密碼和表格部分取消選中啟用自動填充框，只需單擊一次即可填寫web表單。

在Opera中，進入設置→；自動填充并關閉它。

在Safari中，轉到“首選項”并單擊“自動填充”將其關閉。