小心! 浏览器自动填入功能可能让你储存的个资被偷光光

芬兰的网页开发人员Viljami Kuosmanen近日发现，包括Chrome与Safari等浏览器的自动填入功能暗藏网钓风险，可能会曝露未经使用者同意的个人资讯。

浏览器的自动填入功能可协助使用者填写各种基于固定资讯的内容，诸如使用者的名字、电子邮件帐号、地址、电话号码及信用卡等，而Kuosmanen却发现，骇客得以藏匿表格资讯，外表看起来只要求使用者填入少量资讯，但其实可获得使用者所储存的所有个人资讯。

Kuosmanen设计了一个 概念式验证网页 来示范该风险，网页上只要求使用者输入姓名与电子邮件帐号，当使用者采用自动填入功能之后，会发现除了这两项资讯外，国别、地址或电话号码等资讯皆已外洩。

Kuosmanen表示，他原本只是想调查Chrome的自动填入功能在某个电子商务网站上总会填错格的原因，才于不经意中发现该风险。

目前Kuosmanen只确定Google Chrome与苹果Safari浏览器含有该风险，并未测试同样具备自动填入功能的Opera，有安全专家认为不论是Opera或LastPass等用来储存密码的浏览器扩充程式可能都无法倖免。

由于现阶段Firefox的自动填入功能尚未支持多框填入，因而逃过一劫。