【高手示範】Chrome 自動填表漏洞 個人資料任人攞

【高手示範】Chrome 自動填表漏洞 個人資料任人攞

好多人為了搶購旗艦手機、演唱會門券等,都會使用瀏覽器的自動填表功能。不過你又知不知道,原來即使那表格只要你填個名字和電郵,就已經可以完全取得你的個人資料呢?

一位芬蘭網頁程式師 Viljami Kuosmanen ,最近在開源程式庫 GitHub 向公眾披露如何透過一個只有兩個欄位的簡單表格,就可以將你記錄在 Chrome 瀏覽器的自動填表資料全部取出!各位可以到他的 GitHub 專案下載有關的程式碼,在自己的電腦裡「重演案發經過」。假如你開啟了自動填表功能,當網頁上有人名和電郵欄位的話就會自動填寫。假如那網頁附有特定程式碼,你不虞有詐遞交這個「簡單表格」的話,其他你本來沒有打算告訴人的資料也會一併被偷偷送出去。

Kuosmanen 示範簡單表格裡面原來暗中發送了那麼多個人資料

至於其他瀏覽器如 Safari 或 Firefox,由於多了一重警告或手續才會填入個人資料,所以相對較為安全。

可能你會以為只有釣魚網才會那樣做,不過你又會不會逐一去驗證一下一般只以電郵來報名註冊的網站到底有甚麼程式碼呢?Kuosmanen 希望藉此讓大家明白自動填表是非常危險的,不應使用。

02b

點擊「自動填入設定」連結,就會打開對話框,讓你刪除地址和信用卡資料。

點擊「自動填入設定」連結,就會打開對話框,讓你刪除地址和信用卡資料。

下載 Kuosmanen 的釣魚示範專案:按此