techniques publicitaires modernes sont souvent malveillants borderline, surtout en ce qui concerne les moyens des sociétés de marketing de recueillir des informations personnelles des utilisateurs. Une équipe de des chercheurs du Centre pour la politique technologies de l'information Princeton vient de découvrir que au moins deux sociétés de marketing profitent aussi pleinement des gestionnaires de mot de passe intégré pour suivre les visiteurs de milliers de sites.
Le même loophope qui a été connu depuis au moins une décennie pourrait également permettre aux pirates de voler les noms d'utilisateur des utilisateurs enregistrés et les mots de passe des navigateurs sans nécessiter aucune interaction et à l'insu des utilisateurs.
Ce qui est pire est que tous les principaux navigateurs et largement utilisés tels que Google Chrome, Mozilla Firefox, Opéra, et Microsoft bord sont équipés d'un haut-gestionnaire de mot de passe facile à utiliser qui gère enregistrée Accès utilisateurs informations pour automatique de remplissage de formulaire.
Comment Scripts tiers Exploit Intégré Connexion du navigateur / Les gestionnaires de passe
Dans leur recherche, les experts «montrent comment les scripts tiers exploitent les gestionnaires de connexion intégrés dans des navigateurs (également appelé les gestionnaires de mot de passe) pour récupérer et exfiltrer identifiants d'utilisateur sans sensibilisation des utilisateurs.» Ceci est peut-être la première recherche officielle pour montrer que les gestionnaires de connexion sont abusés par des scripts tiers aux fins de suivi Web.
Ce qui est surtout gênant ici est que ce type de vulnérabilité dans les gestionnaires de connexion pour les navigateurs est connu depuis un certain temps.
Une grande partie de la discussion a passé mis l'accent sur le mot de passe exfiltration par des scripts malveillants par cross-site scripting (XSS) attaques, les chercheurs ont expliqué. Les bonnes nouvelles sont que l'équipe n'a pas trouvé le vol de mot de passe sur la 50,000 les sites qui ont été analysés dans le processus. Plutôt, Les chercheurs ont trouvé des scripts de suivi intégrés par la première partie abusant de la même technique pour extraire les adresses e-mails pour créer des identifiants de suivi.
Les chercheurs ont rencontré des scripts de suivi sur les sites Web qui injectent les formulaires de connexion invisible en arrière-plan de la page. Ce mot de passe gestionnaires trompe par navigateur et les rend automatiquement remplir le formulaire avec les informations d'identification de l'utilisateur enregistrée.
Connexion forme de remplissage automatique en général ne nécessite pas d'interaction utilisateur; tous les principaux navigateurs seront le nom d'utilisateur remplissage automatique (souvent une adresse e-mail) immédiatement, quelle que soit la visibilité du formulaire.
Comment votre e-mail devient un excellent suivi Identifier
Chrome en particulier, ne pas remplir automatiquement le champ de mot de passe jusqu'à ce que l'utilisateur clique ou touche partout sur la page. Le reste des navigateurs les chercheurs ont examiné ne nécessitent aucune interaction de l'utilisateur à des champs de mot de passe auto-complet. Que se passe généralement est que ces scripts détectent le nom d'utilisateur de l'utilisateur et l'envoyer à des serveurs tiers, mais d'abord les noms d'utilisateur sont hachés avec MD4, algorithmes SHA1 et SHA256. Ces informations peuvent être utilisées comme un ID utilisateur persistant pour suivre l'utilisateur de la page à la page, chercheurs expliquent.
Les adresses électroniques sont uniques et persistants, et donc le hachage d'une adresse e-mail est un excellent identifiant de suivi. Adresse e-mail d'un utilisateur presque ne changera jamais de compensation des cookies, en utilisant le mode de navigation privée, ou des dispositifs de commutation ne fait pas obstacle à un suivi.
Heureusement, gestionnaires de mot de passe tiers ne sont pas vulnérables à ce type d'attaques « marketing ». La plupart des gestionnaires de mots de passe évitent tout invisible auto-remplissage et nécessitent une interaction de l'utilisateur de les utiliser. En ce qui concerne les gestionnaires de mot de passe du navigateur intégré dans, la meilleure façon d'éviter ce comportement jamais donné qu'il est en désactivant la fonction de saisie semi-automatique dans le navigateur.
Les chercheurs ont fourni une page de démonstration où les utilisateurs peuvent tester si les gestionnaires de mot de passe de leurs navigateurs exposent les noms d'utilisateur et mots de passe.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: