蘋果Safari自動填入功能可能洩露個人資訊

WhiteHat Security創辦人Jeremiah Grossman上周於部落格中揭露，蘋果Safari瀏覽器的自動填入（Autofill）功能可能洩露使用者聯絡人名單中的個人資訊，包括名字、工作地點，及郵件信箱等。

Grossman表示，Safari 4或Safari 5都受到該漏洞影響，而且自動填入功能在Safari中的預設值是開啟的。根據Grossman的說明，一般瀏覽器的自動填入功能得在使用者曾經主動輸入個人資料時才會記住這些資訊，但Safari是自動從作業系統中的聯絡人名單取得使用者所儲存的資訊。

因此，所有的惡意網站只要利用JavaScript程式循序輸入A~Z的字母，就能利用Safari自使用者聯絡人名單中自動抓取資訊並完成資料填入，且將相關資料送至駭客手上。

已有研究人員公布其概念性驗證程式，展示只要幾秒的時間就能完成整個過程，而造成重大的網路隱私問題，這些個人資訊可用來散布垃圾訊息、執行網釣攻擊，甚至用來勒索曾經匿名造訪不當網站的使用者。

Grossman說他已在今年6月就將相關的技術細節提報給蘋果，但蘋果並未明確回應。不過，華爾街日報已引述蘋果發言人表示該公司已得知此事並正在修補該漏洞。（編譯/陳曉莉）