Hjem > Cyber ​​Nyheder > Tracking Scripts Exploit Browsers’ Indbygget Password Ledere
CYBER NEWS

Sporingsscripts Exploit Browsere’ Indbygget Password Ledere

Moderne reklame teknikker er ofte borderline ondsindet, især når det kommer til de måder marketing selskaber indsamle brugernes personlige oplysninger. Et team af forskere fra Princeton Center for Information Technology Policy lige opdaget, at mindst to marketing virksomheder er aktivt at drage fordel af den indbyggede password ledere til at spore besøgende på tusindvis af websteder.

relaterede Story: Sandheden og Reklame IRL: Stop Målrettede annoncer fra Efter du

Den selvsamme loophope som har været kendt i mindst et årti kunne også gøre det muligt for angribere at stjæle brugernes gemte brugernavne og passwords fra browsere uden at kræve nogen interaktion og uden brugerens viden.

Hvad værre er, at alle de store og udbredte browsere som Google Chrome, Mozilla Firefox, Opera, og Microsoft Edge er udstyret med en indbygget let-at-bruge password manager, der styrer brugernes gemt login-oplysninger til automatisk udfyldning af formularer.

Hvor tredjepart Scripts Exploit Browser indbyggede login / Password Ledere

I deres forskning, eksperterne ”vise, hvordan tredjeparts scripts udnytte browseres indbyggede login ledere (også kaldet password ledere) at hente og exfiltrate bruger-id'er uden brugerens bevidsthed.”Dette er måske den første officielle forskning for at vise, at login-ledere er ved at blive misbrugt af tredjeparts scripts i forbindelse med web-sporing.

Hvad er for det meste generende her er, at denne type sårbarhed i login ledere til browsere har været kendt i et stykke tid.

En stor del af det seneste diskussion har fokuseret på password udsivning af ondsindede scripts gennem cross-site scripting (XSS) angreb, forskerne forklarede. Den gode nyhed er, at holdet ikke har fundet adgangskode tyveri på 50,000 sites, der blev analyseret i fremgangsmåden. I stedet, Forskerne fandt sporingsscripts indlejret med den første part misbruger den samme teknik til at udtrække e-mails adresser for at skabe sporing identifikatorer.

Forskere kom på tværs sporing scripts på hjemmesider, der injicerer usynlige login formular i baggrunden af ​​siden. Dette vildleder browserbaserede password ledere og gør dem automatisk udfylde formularen med den gemte brugerens legitimationsoplysninger.

Login formular auto fyldning i almindelighed ikke kræver brugerinteraktion; alle de store browsere vil autoudfylde brugernavnet (ofte en email-adresse) med det samme, uanset synligheden af ​​formen.

Hvordan Din e-mail bliver en fremragende Tracking Identifier

Chrome især ikke automatisk fylde password feltet indtil brugeren klikker eller rører overalt på siden. Resten af ​​browsere forskerne undersøgte ikke kræver nogen brugerinteraktion til auto-fuld adgangskodefelter. Hvad der normalt sker, er, at disse scrips registrerer brugernavnet på den bruger og sende den til tredjepartsservere, men først brugernavne er hashet med MD4, SHA1 og SHA256 algoritmer. Denne information kan bruges som en vedvarende bruger-id til at spore, at brugeren fra side til side, forskere forklare.

E-mail adresser er unikke og vedholdende, og dermed hash af en email-adresse er en fremragende sporing identifikator. En brugers e-mail-adresse vil næsten aldrig ændre-clearing cookies, ved hjælp af privat browsing-tilstand, eller kontaktanordninger vil ikke forhindre sporing.

relaterede Story: Google ved om dig, Vide om Google!

Heldigvis, tredjeparts password ledere er ikke sårbare over for denne form for ”markedsføring” angreb. De fleste password ledere undgå auto-udfyldning usynlige former og kræver brugerinteraktion at bruge dem. Med hensyn til de indbyggede browser password ledere, den nemmeste måde at forhindre denne opførsel fra nogensinde finder sted, er ved at deaktivere AutoFill funktion i browseren.

Forskere har givet en demo side, hvor brugerne kan prøve hvorvidt deres browsere password ledere udsætte brugernavne og adgangskoder.

Milena Dimitrova

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...