还在让浏览器自动保存密码？“自动填充”功能曝重大安全隐患

“用指尖改变世界”

来自普林斯顿大学的隐私安全保护专家警告说，互联网广告公司或者数据分析公司可以使用隐藏的登录字段从网页浏览器中提取用户保存的用于登录某些网站的登录信息，用户的个人资料或者电子邮箱地址可能在未经许可的情况下被滥用。

专家表示这种滥用行为是可能的，因为几乎目前所有的主流网页浏览器中包含的登录管理器都存在设计缺陷。它们都提供了一项“便捷”的功能，允许用户保存某些网站的登录用户名和密码，并在下次访问这些网站时“自动填充”。

这项工作由浏览器中的登录管理器完成。而根据专家的说法，网络追踪者可以在加载追踪脚本的网站上嵌入隐藏的登录表单，以此来窃取用户的个人信息。

“冷饭热炒” 存在10年的漏洞被重新利用

专家表示，这并非一个新发现的安全漏洞。相反，它的存在时间至少已有10年之久。但在这个最新发现之前，它仅被用于在XSS(跨站点脚本)攻击期间收集用户登录信息。

在最新的活动中，攻击者对这个利用网页浏览器“自动填充”漏洞发起攻击活动的方式进行了调整，进而设计出一种全新的攻击方式。

来自普林斯顿大学信息技术政策中心( CTTP )的研究人员表示，他们近期发现了两种利用隐藏登录表单收集用户登录信息的网络跟踪服务：Adthink(audienceinsights.net)、 OnAudience(behavioralengine.com)。它们被发现用于收集Alexa Top 100 万网站列表中1110 个网站的用户登录信息，但庆幸的是，被收集的信息只包括用户名和电子邮箱地址，并不包括密码以及其他敏感信息。

“触目惊心” 几乎所有主流浏览器都沦陷

据研究人员透露，除了Brave浏览器之外，其他主流浏览器似乎都容易受到这种攻击的影响。但受影响程度不一致，某些浏览器或许会因此而泄露用户密码。

基于Chromium的浏览器可能会延迟用户密码的泄露，直到用户通过点击与网页进行交互。但这并不是一种保护用户安全的好方法，因为既然选择了通过浏览器打开网页页面，那么通过点击与网页交互是不可避免的。

根据普林斯顿大学的说法，在未经用户许可的情况下收集用户个人信息不仅侵犯了用户的个人隐私权，而且很明显的违反了欧盟推出的《一般数据保护法案(General Data Protection Regulation，GDPR)》。

专家提醒，用户应该在日常使用互联网的过程中加强安全意识。尽量减少使用网页浏览器提供的“自动填充”功能，尤其是当涉及到登录某些金融或银行网站的时候。

本文由黑客视界综合网络整理，图片源自网络;转载请注明“转自黑客视界”，并附上链接。