大多數用戶在填寫網頁表單時，曾為填寫重復信息而苦惱。為滿足用戶需求，Google Chrome 等主流瀏覽器提供了“自動填充”功能，它能記錄下你曾填寫過的信息，例如姓名、身份證號碼、銀行卡卡號和密碼等。以后遇見同樣問題，它將自動填充。

然而，事實證明，攻擊者可以利用這項功能將你的隱私信息泄露給攻擊者或者惡意的第三方。

芬蘭的 Web 開發者和白帽黑客 Viljami Kuosmanen 在 GitHub 發布了一個 Demo，展示了攻擊者操縱并利用擁有自動填充功能的瀏覽器、插件和密碼管理器等工具的過程。

盡管這個詭計已在 2013 年首次被 ElevenPaths 的安全分析師 Ricardo Martin Rodriguez 發現 ，但是 Google至今尚未采取任何行動處理“自動填充”這一弱點。

PoC 網頁 看起來是一個僅包含兩個輸入框——姓名和郵箱的簡單網頁。實際上，很多信息已經被隱藏，其中包括電話號碼，組織，地址，郵編，城市以及國家。

渾然不知泄漏個人信息

因此，如果用戶的瀏覽器中帶有自動填充功能，當他們填寫表格并提交后，就會將所有信息，包括隱藏的六項個人信息發送給肆無忌憚的網絡釣魚者。雖然六項個人信息在頁面上不顯示，但它們已經被自動填充。

你也可以使用 Kuosmanen 的 PoC 網頁 測試你的瀏覽器和插件的自動填充功能，

縱使網站沒有使用 HTTPS 時，自動填充付款信息會在 Chrome 中觸發警告，Kuosmanen仍然可以通過添加更多隱藏的隱私信息，包括用戶的地址、信用卡號及有效期和 CVV 碼，讓這種攻擊變得更加糟糕。

Kuosmanen 攻擊對主流瀏覽器和自動填充工具都非常不利，其中包括 Google Chrome, Apple Safari, Opera, 甚至 當下流行的密碼管理工具 LastPass。

Mozilla 的 Firefox 瀏覽器用戶不需要擔心這種攻擊，因為它沒有多輸入框自動填充系統，并且強制用戶手動在每個輸入框內選擇預填充數據。

因此，Mozilla 的主要安全工程師 Daniel Veditz 說，Firefox 瀏覽器不會被程序化手段欺騙去自動填充文本框。

如何關閉自動填充功能

讓自己免受網絡釣魚者攻擊最簡單的方法是在你的瀏覽器、密碼管理器或者擴展設置中禁用表單自動填充功能。

自動填充功能通常是默認是啟用的。這里教你如何在 Chrome 中關閉它：進入“設置”→顯示高級設置(在頁面底部)，在密碼和表單部分取消選中啟用自動填充功能

• 在 Opera 中，進入“設置”→自動填充，把它關掉。
• 在 Safari 中，進入“偏好設置”，點擊自動填充來關掉。