浏览器自动填充存漏洞,可能泄露你的个人隐私-阿里云开发者社区

开发者社区> 雷锋网> 正文
登录阅读全文

浏览器自动填充存漏洞,可能泄露你的个人隐私

简介:

当你在注册新账号,或者填写收货地址时,大堆信息是否让你头疼?所幸的是,大多数浏览器都自带了的自动填充表单的功能,一秒钟就能帮你填好所有的所有输入框。

可是,最近一个芬兰的网页开发者和黑客 Viljami Kuosmanen 发现了一个自动填写表单功能重大的潜在安全漏洞,他表示诸如 Chrome、Safari 和 Opera 等浏览器,或是 LastPass 这样带自动填充功能的浏览器插件,都可能会泄露用户的隐私。

自动填表如何泄露你的隐私

一般来说,在使用自动填充功能之前,用户需要提前把需要自动填充的个人信息存储在浏览器或者工具中,以 Chrome 浏览器为例:

其自动填写的信息包括邮编、详细地址、组织(公司)、用户名、电话、和电子邮件等,通常可用来快速填写收货地址。

浏览器自动填充存漏洞,可能泄露你的个人隐私

再以自动登录工具 Lastpass 为例,它提供了更为详细的资料填写项目,几乎可以帮你自动填写能想到的所有资料,包括除了基础的用户名、姓名、生日、社会保险号码(身份证号),还有详细地址、联系人、银行账户等等。

浏览器自动填充存漏洞,可能泄露你的个人隐私

然而这些 Viljami 发现,通过极其简单的手段将一些文本输入框隐藏起来,就可以在你不知情的情况下,得到你表单中的所有个人资料。

为了实际展示该功能,Viljami 做了一个简单的演示 Demo 网站,看起来,网页上只要求输入姓名和邮箱,但是按提交键后,通过浏览器抓取信息显示,除了页面上能看到的两项信息以外,用户的电话、地址等信息也被上传了。

浏览器自动填充存漏洞,可能泄露你的个人隐私

【图片来自:Viljami 提供的演示 demo 】

雷锋网宅客频道按照这种思路绘制了一个钓鱼网站骗取用户信息的示意图如下:

浏览器自动填充存漏洞,可能泄露你的个人隐私

钓鱼网站会将一些用户电话、地址等信息的输入框隐藏起来,虽然用户的肉眼看不到,但是自动填写程序能捕捉到,并在用户不知情的情况下“帮” 用户把信息填进去。

据雷锋网了解,喜欢海淘的人经常需要填写如信用卡卡号、有效日期和安全码等信息,此外,人们在参加“特价秒杀”等抢购活动时也需要争分多秒地填写表单,这时许多人会 选择将住址、电话等资料保存在浏览器或插件中,以便自动填充。

一旦用户在钓鱼网站使用了自动填充功能,就很可能会泄露自己的详细地址、信用卡号、安全码等信息。

问题的发现者 Viljami 表示:“该问题在 Chromium 内核中存在6年之久,这就是我不爱用自动填写表单的原因。”

他还表示 Mozilla 的 Firefox 火狐浏览器并没有此类问题,因为它只支持自动填写单个文本框而不支持一键填写整个表单,用户需要逐个点击输入框,因此那些隐藏起来的文本输入框就是去了作用。

应对建议

虽然 Viljami 建议关闭网页自动填充功能,但雷锋网(公众号:雷锋网)宅客频道认为这未免有些因噎废食的意思。自动填写功能可以用,但建议用户在使用该功能前确认网站是否可信任,切勿在来历不明的小网站使用,以免遭遇钓鱼。

对于懂技术又不怕麻烦的人,在小网站使用自动填写功能时,不妨花几秒钟手动检查一下网页源代码。不过话说回来,既然都不怕麻烦地检查代码了,为何不直接手动填写呢……

浏览器自动填充存漏洞,可能泄露你的个人隐私

雷锋网原创文章,未经授权禁止转载。详情见转载须知。

0人收藏 分享:
知乎的「野心与终局」
知乎的「野心与终局」
龙芯推出新一代处理器,离 Intel 还有多大差距?
龙芯推出新一代处理器,离 Intel 还有多大差距?
亚马逊的秘密部队和差点成笑话的Amazon Echo
亚马逊的秘密部队和差点成笑话的Amazon Echo
GAN学习指南:从原理入门到制作生成Demo,总共分几步?
GAN学习指南:从原理入门到制作生成Demo,总共分几步?
文章点评:

我有话要说……
表情 同步到新浪微博 提交

谢幺
编辑
关注网络安全、黑客、白帽子那些事, 欢迎来聊聊你的故事。
发私信
当月热门文章
最新文章
黑客随便修改价格,1美元就能买到 Macbook Pro?
以激光舞开场,有陌陌 SRC 赞助的摇滚趴?这个黑客大会八卦和干货齐飞
FBI 抓了一个上海教师,说他偷了美国政府 2210 万份数据
看到机器人拿螺丝刀捅向西红柿,我都要吓尿了
窃取徐玉玉信息的19岁黑客被判了6年
他们造了一个自动挖掘工具,能找到比核武器更可怕的漏洞
热门搜索
融资iPhone应用雷锋微视点CES锤子手机电子商务摄像头电信Arduino迅雷CarPlay
引入神经网络,谷歌将语音识别错误率降低30%
本文作者:周翔 2017-01-12 15:04
导语:此前,微软已经将错词率降到了6.3%。
引入神经网络,谷歌将语音识别错误率降低30%

雷锋网(公众号:雷锋网)消息:今天(1月12日),在加州圣克拉拉举行的AI前沿大会上,谷歌高级研究员Jeff Dean分享了有关谷歌语音识别准确率的最新消息:在引入神经网络之后,谷歌语音识别的错词率(word error rate)下降了30%。

神经网络是谷歌以及其他公司在深度学习中使用的一种系统。人们利用大量的数据,比如演讲片段,来训练神经网络,然后让这些神经网络能够自动对新的数据做出判断。2012年,谷歌首次将神经网络运用于语音识别。

在深度语音和文字识别这一重要领域,谷歌向来很少公布其最新进展,虽然这些技术与谷歌的一些产品息息相关,比如智能音箱Google Home以及转为手机设计的虚拟键盘Gboard。不过,谷歌CEO 桑达尔·皮查伊在2015年的时候曾公布,谷歌在语音识别方面的错词率为8%。

2016年8月份,苹果Siri部门的高级总监Alex Acero曾表示,Siri在所有语言的语音识别中错误率下降了50%。

同年9月,微软宣布,在语音识别准确率上面超过了IBM的超级电脑沃森,错词率降到了6.3%,打破了沃森之前保持的6.9%的出错率纪录。

本文作者:谢幺

本文转自雷锋网禁止二次转载,原文链接

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
+ 订阅

秉承“关注智能与未来”的宗旨,持续对全球前沿技术趋势与产品动态进行深入调研与解读。

官网链接