tecniche pubblicitarie moderni sono spesso borderline dannoso, soprattutto quando si tratta di modi società di marketing raccolgono informazioni personali degli utenti. Un team di ricercatori dal centro di Princeton for Information Technology Policy appena scoperto che almeno due società di marketing sono attivamente approfittando di built-in Password Manager per monitorare i visitatori di migliaia di siti web.
Lo stesso loophope che è stato conosciuto per almeno un decennio potrebbe anche consentire agli aggressori di rubare nomi utente e le password salvate degli utenti dai browser senza richiedere alcuna interazione e senza la conoscenza degli utenti.
Quel che è peggio è che tutti i più importanti e ampiamente utilizzati browser come Google Chrome, Mozilla Firefox, Opera, e Microsoft Edge sono dotati di un gestore di password integrato facile da usare che gestisce salvato login informazioni degli utenti per la forma-riempimento automatico.
Come terze parti script Exploit del browser incorporato Login / password manager
Nella loro ricerca, gli esperti “mostrano come script di terze parti sfruttano i manager d'accesso built-in browser (chiamato anche gestori di password) per recuperare e esfiltrare identificativi utente senza la consapevolezza dell'utente.”Questa è forse la prima ricerca ufficiale per mostrare che i gestori d'accesso vengono abusati da script di terze parti ai fini del monitoraggio web.
Ciò che è per lo più fastidioso è che questo tipo di vulnerabilità in manager d'accesso per i browser è noto da parecchio tempo.
Gran parte della discussione si è concentrata sulla passata la password exfiltration da script dannosi tramite cross-site scripting (XSS) attacchi, i ricercatori hanno spiegato. La buona notizia è che la squadra non ha trovato il furto di password sul 50,000 i siti che sono stati analizzati nel processo. Invece, I ricercatori hanno trovato script di monitoraggio incorporati per il primo partito abusando la stessa tecnica per estrarre gli indirizzi email per la creazione di identificatori di monitoraggio.
I ricercatori sono imbattuto in script di monitoraggio sui siti web che iniettano moduli di login invisibili sullo sfondo della pagina. Questo inganna gestori di password basate su browser e li rende auto-compilare il modulo con le credenziali dell'utente salvato.
Accesso forma di riempimento automatico, in generale, non richiede interazione da parte dell'utente; tutti i principali browser di inserire automaticamente il nome utente (spesso un indirizzo e-mail) subito, indipendentemente dalla visibilità del modulo.
Come la vostra e-mail diventa un ottimo monitoraggio Identifier
Chrome in particolare, non si auto-fill il campo password fino a quando l'utente fa clic o tocca qualsiasi punto della pagina. Il resto dei browser I ricercatori hanno esaminato non richiede alcuna interazione da parte dell'utente ai campi delle password di auto-pieno. Quello che succede di solito è che questi scrips rilevano il nome dell'utente e inviarlo al server di terze parti, ma prima i nomi utente vengono hashing con MD4, algoritmi SHA1 e SHA256. Questa informazione può essere utilizzata come un ID utente persistente per tracciare l'utente da una pagina all'altra, ricercatori spiegano.
Gli indirizzi email sono unici e persistenti, e quindi l'hash di un indirizzo di posta elettronica è un ottimo identificatore di monitoraggio. indirizzo di posta elettronica di un utente sarà quasi mai cambiare, eliminare i cookie, utilizzando la modalità di navigazione privata, o dispositivi di commutazione non impediranno inseguimento.
Per fortuna, gestori di password di terze parti non sono vulnerabili a questo tipo di attacchi “marketing”. La maggior parte dei gestori di password evitano forme invisibili di auto-riempimento e richiedono l'interazione dell'utente per usarli. Per quanto riguarda il built-in del browser gestori di password, Il modo più semplice per evitare che questo comportamento da sempre prendere posto è disattivando la funzione di riempimento automatico all'interno del browser.
I ricercatori hanno fornito una pagina di prova in cui gli utenti possono test se i loro gestori di password browser espongono nomi utente e password.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: