网页浏览器的自动完成功能相当方便,可以填入先前记录的账号、Email、密号等资讯,但却可能遭到人滥用。本周三,普林斯顿大学的研究者声称他们发现两家行销公司滥用浏览器方便的自动完成功能,让使用者无意识下泄漏他们的 Email 等个人隐私资料。
研究者称两家行销公司插入的追踪脚本,有看不到,隐形的表单,会触发浏览器的自动完成功能,接着从中窃取使用的登入资讯。研究者还架了示范网站示范怎么做到,并表示主流的浏览器 Firefox、Chrome、Safari、Edge 都受到影响,共有 1,100 个网站拥有隐形表单脚本。
两家欧家的行销公司 Adthink 和 OnAudience 使用含有隐形表单的脚本,所幸并没有拦截密码,而只有电子邮件被记录下来,而电子邮件以 hash 方式处理。两家公司回应他们相当看重使用者的隐私,不会收集使用者账号和密码。所有收集到的资料都已经去识别化了。
▲ 依示范网站的指示,触发浏览器的自动完成功能,最后拿到使用者输入的资料。
不过这次并不是第一次揭露自动完成功能的问题,但这是第一次用到网站使用者追踪上面。今天年初的时候,芬兰网页开发者暨白帽骇客 Viljami Kuosmanen,就在 Github 公布实作的程式码和范例网站,示范如何运用该功能取得使用者个人资讯。
由于追查到的行销公司可能分布在异地的小公司,通常急于赚钱,而在意行为妥不妥当。网站经营者也未留意第三方埋入的广告追踪程式,因此使用者最好的应对方式为关掉自动完成功能。
- Web Trackers Lift Email Addresses Via Browser’s Autofill Feature
- Browser AutoFill Feature Can Leak Your Personal Information to Hackers
(首图来源:pixabay)
