计划参加本周举办的黑帽大会的一位安全专家称,所有最流行的互联网浏览器,如IE、Firefox、Chrome和Safari都存在一个漏洞,可被人利用来盗取使用者的个人信息。
准备参加本周黑帽大会的白帽安全公司CTO Jeremiah Grossman称,“我在大会上要介绍的一些工具利用这些漏洞可以说毫无困难。”他将在大会上宣读简报“破解浏览器:如何黑Auto-Complete功能”。
他说,他采取的手段是诱骗浏览器交出浏览器自动存储的使用者个人信息。大多数浏览器都有一项叫做auto-complete的自动存储功能,设计这项功能的目的是为了让用户在填写各个网站的登录表格时能够尽量减少重复填写操作。而自动存储的信息包括了网名(或姓名)、网址、邮箱地址和搜索关键词,有时候甚至还有登录在线银行时使用的密码、信用卡号等。
“这是个严重的隐私和安全问题,”他说。
浏览器所交出的某些信息可被用来发动多级攻击,也就是说使用者会先被引诱过来,然后交出更多的信息,或者下载可盗取邮箱和银行账号的恶意软件。
解决这一问题的最有效的方法就是关掉浏览器的auto-complete功能选项,但是Grossman说,有些人还是更喜欢这一功能所提供的便利。
Grossman说,对付不同的浏览器需要用不同的手段,但是他也发现了一种可危及不同版本IE、Safari、Chrome和Firefox的auto-complete功能的方法。
Grossman称,他已经通知了各家浏览器厂商,但却没有哪家厂商告诉过他已经制订了修补漏洞的确切计划。
Grossman在IE中所发现的这一漏洞早在2008年就有人也独立发现过,但是这一漏洞迄今为止也没有得到修补,他说。
