摘要:据极客公园测试,多款主流浏览器已经修复了这个漏洞。
安全研究人员发现,营销公司已经开始利用浏览器内置密码管理器中已存在 11 年的一个漏洞,来偷偷窃取你的电子邮件地址,以便在不同的浏览器和设备上投放有针对性的广告。
除了窃取电子邮件信息外,该漏洞还可能允许恶意用户直接从浏览器内偷偷保存你的用户名和密码,在不需要和你交互的情况下。
每个主流的浏览器(Google Chrome, Mozilla Firefox, Opera or Microsoft Edge)都有一个内置的密码管理工具,它允许用户保存自己的登录信息并用于自动填充表单(网页中负责数据采集功能的部分)。
图 / Google Chrome 中 的「密码和表单」功能
图 / 攻击演示图(来自 The Hacker News )
其他的密码管理工具也可能出现问题。今年 3 月,LastPass 再次被爆出安全漏洞,谷歌 Project Zero 团队的安全研究人员 Tavis Ormandy 发现,在 LastPass Chrome 和 Firefox 4.1.42 版本插件中存在三个漏洞,攻击者能利用漏洞从密码管理器中提取密码,还可以执行受害者设备上的命令,该漏洞存在于所有操作系统中。
LastPass 并非唯一被曝漏洞的密码管理类应用,其他密码管理器也出现过各种漏洞。没有密码管理器之前,我们记不住所有的密码,而有了密码管理器,它说不定会泄露了你的密码。
不过,随着「扫描二维码登录」、生物识别技术和分析用户行为的技术已经走进了大家的生活,或许在未来的某一天,我们就可以告别令人讨厌的密码了。
头条来源:视觉中国
责任编辑:双筒猎枪 ■
,
