安全人员发现,黑客通过网页上设置的隐藏文本框即可盗取浏览器自动填充密码管理器当中的私人信息。芬兰的 Web 开发人员和黑客 Viljami Kuosmanen 发现, Chrome、 Safari 和 Opera 等浏览器及一些插件(如 LastPass)可被欺骗,通过它们基于配置文件的自动填充系统,将用户个人信息泄露给黑客。
这种网络钓鱼攻击极其简单。Kuosmanen 发现,当用户试图填充网页上一些纯文本框,如姓名、电子邮件地址等等,自动填充系统会发挥作用,其目的是避免标准信息等乏味重复填写,它将基于用户档案的信息自动填充到任何其它文本框当中。
这意味着,当用户访问一个貌似无辜的网站,如果用户确认进行自动填充,上述浏览器的自动填充系统将放弃更多的敏感信息,如电子邮件地址,电话号码,邮寄地址,组织信息,信用卡信息以及其他各种零零碎碎的存储数据。
Mozilla 的 Firefox 火狐浏览器没有此类问题,因为它还不具备多箱自动填充系统。目前该钓鱼攻击仍然依赖于诱使用户访问恶意钓鱼网站填写个人信息。用户可以通过禁用浏览器的自动填充系统保护自己免受这种威胁的侵害。
稿源:cnbeta,有删改,封面来源:百度搜索。
from hackernews.cc.thanks for it.