安全人員發(fā)現(xiàn),不法網(wǎng)絡(luò)釣魚者,通過在網(wǎng)上安裝隱藏的文本框,即可盜取瀏覽器自動(dòng)填充密碼管理器當(dāng)中的私人信息。芬蘭的Web開發(fā)人員和黑客Viljami Kuosmanen發(fā)現(xiàn),谷歌Chrome,蘋果Safari和Opera等瀏覽器,以及一些插件和工具:如LastPass,可被欺騙,通過它們基于配置文件的自動(dòng)填充系統(tǒng),將用戶個(gè)人信息泄露給黑客。
這種網(wǎng)絡(luò)釣魚攻擊極其簡(jiǎn)單。Kuosmanen發(fā)現(xiàn),當(dāng)用戶試圖填充網(wǎng)頁上一些純文本框,如姓名、電子郵件地址等等,自動(dòng)填充系統(tǒng)會(huì)發(fā)揮作用,其目的是避免標(biāo)準(zhǔn)信息等乏味重復(fù)填寫,它將基于用戶檔案的信息自動(dòng)填充到任何其它文本框當(dāng)中。
這意味著,當(dāng)用戶訪問一個(gè)貌似無辜的網(wǎng)站,如果用戶確認(rèn)進(jìn)行自動(dòng)填充,上述瀏覽器的自動(dòng)填充系統(tǒng)將放棄更多的敏感信息,如電子郵件地址,電話號(hào)碼,郵寄地址,組織信息,信用卡信息以及其他各種零零碎碎的存儲(chǔ)數(shù)據(jù)。
Mozilla的Firefox火狐瀏覽器沒有此類問題,因?yàn)樗€不具備多箱自動(dòng)填充系統(tǒng),并且不能被欺騙,通過程序化的手段彌補(bǔ)文本框。該釣魚攻擊仍然依賴于誘使用戶訪問惡意釣魚網(wǎng)站填寫個(gè)人信息。用戶可以通過禁用瀏覽器的自動(dòng)填充系統(tǒng)保護(hù)自己免受這種威脅的侵害。