芬蘭的網頁開發人員Viljami Kuosmanen近日發現,包括Chrome與Safari等瀏覽器的自動填入(autofill)功能暗藏網釣風險,可能會曝露未經使用者同意的個人資訊。
瀏覽器的自動填入功能可協助使用者填寫各種基於固定資訊的內容,諸如使用者的名字、電子郵件帳號、地址、電話號碼及信用卡等,而Kuosmanen卻發現,駭客得以藏匿表格資訊,外表看起來只要求使用者填入少量資訊,但其實可獲得使用者所儲存的所有個人資訊。
Kuosmanen設計了一個概念式驗證網頁(主圖)來示範該風險,網頁上只要求使用者輸入姓名與電子郵件帳號,當使用者採用自動填入功能之後,會發現除了這兩項資訊外,國別、地址或電話號碼等資訊皆已外洩。
Kuosmanen表示,他原本只是想調查Chrome的自動填入功能在某個電子商務網站上總會填錯格的原因,才於不經意中發現該風險。
目前Kuosmanen只確定Google Chrome與蘋果Safari瀏覽器含有該風險,並未測試同樣具備自動填入功能的Opera,有安全專家認為不論是Opera或LastPass等用來儲存密碼的瀏覽器擴充程式可能都無法倖免。
由於現階段Firefox的自動填入功能尚未支援多框填入,因而逃過一劫。