还在让浏览器自动保存密码?“自动填充”功能曝重大安全隐患

“用指尖改变世界”

来自普林斯顿大学的隐私安全保护专家警告说,互联网广告公司或者数据分析公司可以使用隐藏的登录字段从网页浏览器中提取用户保存的用于登录某些网站的登录信息,用户的个人资料或者电子邮箱地址可能在未经许可的情况下被滥用。

专家表示这种滥用行为是可能的,因为几乎目前所有的主流网页浏览器中包含的登录管理器都存在设计缺陷。它们都提供了一项“便捷”的功能,允许用户保存某些网站的登录用户名和密码,并在下次访问这些网站时“自动填充”。

这项工作由浏览器中的登录管理器完成。而根据专家的说法,网络追踪者可以在加载追踪脚本的网站上嵌入隐藏的登录表单,以此来窃取用户的个人信息

“冷饭热炒” 存在10年的漏洞被重新利用

专家表示,这并非一个新发现的安全漏洞。相反,它的存在时间至少已有10年之久。但在这个最新发现之前,它仅被用于在XSS(跨站点脚本)攻击期间收集用户登录信息。

在最新的活动中,攻击者对这个利用网页浏览器“自动填充”漏洞发起攻击活动的方式进行了调整,进而设计出一种全新的攻击方式。

来自普林斯顿大学信息技术政策中心( CTTP )的研究人员表示,他们近期发现了两种利用隐藏登录表单收集用户登录信息的网络跟踪服务:Adthink(audienceinsights.net)、 OnAudience(behavioralengine.com)。它们被发现用于收集Alexa Top 100 万网站列表中1110 个网站的用户登录信息,但庆幸的是,被收集的信息只包括用户名和电子邮箱地址,并不包括密码以及其他敏感信息。

“触目惊心” 几乎所有主流浏览器都沦陷

据研究人员透露,除了Brave浏览器之外,其他主流浏览器似乎都容易受到这种攻击的影响。但受影响程度不一致,某些浏览器或许会因此而泄露用户密码。

基于Chromium的浏览器可能会延迟用户密码的泄露,直到用户通过点击与网页进行交互。但这并不是一种保护用户安全的好方法,因为既然选择了通过浏览器打开网页页面,那么通过点击与网页交互是不可避免的。

根据普林斯顿大学的说法,在未经用户许可的情况下收集用户个人信息不仅侵犯了用户的个人隐私权,而且很明显的违反了欧盟推出的《一般数据保护法案(General Data Protection Regulation,GDPR)》。

专家提醒,用户应该在日常使用互联网的过程中加强安全意识。尽量减少使用网页浏览器提供的“自动填充”功能,尤其是当涉及到登录某些金融或银行网站的时候

本文由黑客视界综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。

本文来自企鹅号 - 黑客视界媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Java帮帮-微信公众号-技术文章全总结

研究微信即时通讯的服务端、朋友圈、红包、推送等方案

即时通信:前端获得消息发送到服务端,服务端处理后通过推送的方式,给到接收方;Android使用长连机制,联通网络长连十几分钟,电信仅五六分钟,因此需要根据测试的...

3973
来自专栏owent

博客文章和文档迁移到gitbook

使用*Markdown*写blog已经很久了,近期接触并且看了下流传已久的gitbook平台,感觉做得确实不错。、

1272
来自专栏知晓程序

小程序用起来耗流量吗? | 小程序问答 #5

1402
来自专栏美团技术团队

境外业务性能优化实践

前言 性能问题简介 应用性能是产品用户体验的基石,性能优化的终极目标是优化用户体验。当我们谈及性能,最直观能想到的一个词是“快”,Strangeloop在对众多...

66710
来自专栏企鹅号快讯

补丁管理:不要以持续运行时间为自豪

在补丁管理方面一些 Linux 系统管理员和 Windows 系统管理员没有差别。实话说,在一些方面甚至做的更差(特别是以持续运行时间为自豪)。 -- Kyle...

2169
来自专栏程序员的SOD蜜

闲话权限系统的设计

一、权限的本质 权限管理,首先要理清权限的本质:权限就是对受保护资源的有限许可访问。 理解了权限的本质,就好谈权限的管理了。 权限就是对受保护资源的有限许可访问...

3818
来自专栏程序人生

Vagrant share浅析

好吧,今天的文章只和程序有关,和人生无关。连续喝了几天大馇子粥,该上点清香逸人的咖啡了。 如果你不知道啥是虚拟机(vagrant是一款虚拟机管理软件),看到这里...

3366
来自专栏FreeBuf

极客DIY:利用Arduino制作智能家居系统

智能家居系统简单来说是融合了自动化控制系统、计算机网络系统和网络通讯技术于一体的网络化智能化的家居控制系统。 本文中所展示的智能家居系统可以对室内外温度、天气变...

2238
来自专栏*坤的Blog

DNS线路

2.1K2
来自专栏ATYUN订阅号

【业界】PureSec数据显示:五分之一的开源无服务器应用程序存在严重漏洞

根据PureSec的数据显示,超过20%的开源无服务器应用程序存在严重的安全漏洞。 对1000个开源无服务器项目的评估显示,其中21%包含一个或多个严重漏洞或错...

2806

扫码关注云+社区

领取腾讯云代金券