浏覽器自動填充存漏洞，可能洩露你的個人隐私

當你在注冊新賬号，或者填寫收貨位址時，大堆資訊是否讓你頭疼？所幸的是，大多數浏覽器都自帶了的自動填充表單的功能，一秒鐘就能幫你填好所有的所有輸入框。

可是，最近一個芬蘭的網頁開發者和黑客 viljami kuosmanen 發現了一個自動填寫表單功能重大的潛在安全漏洞，他表示諸如 chrome、safari 和 opera 等浏覽器，或是 lastpass 這樣帶自動填充功能的浏覽器插件，都可能會洩露使用者的隐私。

自動填表如何洩露你的隐私

一般來說，在使用自動填充功能之前，使用者需要提前把需要自動填充的個人資訊存儲在浏覽器或者工具中，以 chrome 浏覽器為例：

其自動填寫的資訊包括郵編、詳細位址、組織（公司）、使用者名、電話、和電子郵件等，通常可用來快速填寫收貨位址。

浏覽器自動填充存漏洞，可能洩露你的個人隐私

再以自動登入工具 lastpass 為例，它提供了更為詳細的資料填寫項目，幾乎可以幫你自動填寫能想到的所有資料，包括除了基礎的使用者名、姓名、生日、社會保險号碼（身份證号），還有詳細位址、聯系人、銀行賬戶等等。

然而這些 viljami 發現，通過極其簡單的手段将一些文本輸入框隐藏起來，就可以在你不知情的情況下，得到你表單中的所有個人資料。

為了實際展示該功能，viljami 做了一個簡單的示範 demo 網站，看起來，網頁上隻要求輸入姓名和郵箱，但是按送出鍵後，通過浏覽器抓取資訊顯示，除了頁面上能看到的兩項資訊以外，使用者的電話、位址等資訊也被上傳了。

【圖檔來自：viljami 提供的示範 demo 】

雷鋒網宅客頻道按照這種思路繪制了一個釣魚網站騙取使用者資訊的示意圖如下：

釣魚網站會将一些使用者電話、位址等資訊的輸入框隐藏起來，雖然使用者的肉眼看不到，但是自動填寫程式能捕捉到，并在使用者不知情的情況下“幫” 使用者把資訊填進去。

據雷鋒網了解，喜歡海淘的人經常需要填寫如信用卡卡号、有效日期和安全碼等資訊，此外，人們在參加“特價秒殺”等搶購活動時也需要争分多秒地填寫表單，這時許多人會 選擇将住址、電話等資料儲存在浏覽器或插件中，以便自動填充。

一旦使用者在釣魚網站使用了自動填充功能，就很可能會洩露自己的詳細位址、信用卡号、安全碼等資訊。

問題的發現者 viljami 表示：“該問題在 chromium 核心中存在6年之久，這就是我不愛用自動填寫表單的原因。”

他還表示 mozilla 的 firefox 火狐浏覽器并沒有此類問題，因為它隻支援自動填寫單個文本框而不支援一鍵填寫整個表單，使用者需要逐個點選輸入框，是以那些隐藏起來的文本輸入框就是去了作用。

應對建議

雖然 viljami 建議關閉網頁自動填充功能，但雷鋒網(公衆号：雷鋒網)宅客頻道認為這未免有些因噎廢食的意思。自動填寫功能可以用，但建議使用者在使用該功能前确認網站是否可信任，切勿在來曆不明的小網站使用，以免遭遇釣魚。

對于懂技術又不怕麻煩的人，在小網站使用自動填寫功能時，不妨花幾秒鐘手動檢查一下網頁源代碼。不過話說回來，既然都不怕麻煩地檢查代碼了，為何不直接手動填寫呢……

雷鋒網原創文章，未經授權禁止轉載。詳情見轉載須知。

0人收藏 分享：

知乎的「野心與終局」

龍芯推出新一代處理器，離 intel 還有多大差距？

亞馬遜的秘密部隊和差點成笑話的amazon echo

gan學習指南：從原理入門到制作生成demo，總共分幾步？

文章點評：

我有話要說……

表情 同步到新浪微網誌 送出

謝幺

編輯

關注網絡安全、黑客、白帽子那些事， 歡迎來聊聊你的故事。

發私信

當月熱門文章

最新文章

黑客随便修改價格，1美元就能買到 macbook pro？

以雷射舞開場，有陌陌 src 贊助的搖滾趴？這個黑客大會八卦和幹貨齊飛

fbi 抓了一個上海教師，說他偷了美國政府 2210 萬份資料

看到機器人拿螺絲刀捅向蕃茄，我都要吓尿了

竊取徐玉玉資訊的19歲黑客被判了6年

他們造了一個自動挖掘工具，能找到比核武器更可怕的漏洞

熱門搜尋

融資iphone應用雷鋒微視點ces錘子手機電子商務攝像頭電信arduino迅雷carplay

引入神經網絡，谷歌将語音識别錯誤率降低30%

本文作者：周翔 2017-01-12 15:04

導語：此前，微軟已經将錯詞率降到了6.3%。

雷鋒網(公衆号：雷鋒網)消息：今天（1月12日），在加州聖克拉拉舉行的ai前沿大會上，谷歌進階研究員jeff dean分享了有關谷歌語音識别準确率的最新消息：在引入神經網絡之後，谷歌語音識别的錯詞率（word error rate）下降了30%。

神經網絡是谷歌以及其他公司在深度學習中使用的一種系統。人們利用大量的資料，比如演講片段，來訓練神經網絡，然後讓這些神經網絡能夠自動對新的資料做出判斷。2012年，谷歌首次将神經網絡運用于語音識别。

在深度語音和文字識别這一重要領域，谷歌向來很少公布其最新進展，雖然這些技術與谷歌的一些産品息息相關，比如智能音箱google home以及轉為手機設計的虛拟鍵盤gboard。不過，谷歌ceo 桑達爾·皮查伊在2015年的時候曾公布，谷歌在語音識别方面的錯詞率為8%。

2016年8月份，蘋果siri部門的進階總監alex acero曾表示，siri在所有語言的語音識别中錯誤率下降了50%。

同年9月，微軟宣布，在語音識别準确率上面超過了ibm的超級電腦沃森，錯詞率降到了6.3%，打破了沃森之前保持的6.9%的出錯率紀錄。

本文作者：謝幺

本文轉自雷鋒網禁止二次轉載，原文連結