Hjem > Cyber ​​Nyheder > Tracking Scripts Udnyt browsere’ Indbygget Password Ledere
CYBER NEWS

Sporingsscripts Exploit Browsere’ Indbygget Password Ledere

ved   |  Last Update:  |  0 Kommentarer  

Moderne reklame teknikker er ofte borderline ondsindet, især når det kommer til de måder marketing selskaber indsamle brugernes personlige oplysninger. Et team af forskere fra Princeton Center for Information Technology Policy lige opdaget, at mindst to marketing virksomheder er aktivt at drage fordel af den indbyggede password ledere til at spore besøgende på tusindvis af websteder.

relaterede Story: Sandheden og Reklame IRL: Stop Målrettede annoncer fra Efter du

Den selvsamme loophope som har været kendt i mindst et årti kunne også gøre det muligt for angribere at stjæle brugernes gemte brugernavne og passwords fra browsere uden at kræve nogen interaktion og uden brugerens viden.

Hvad værre er, at alle de store og udbredte browsere som Google Chrome, Mozilla Firefox, Opera, og Microsoft Edge er udstyret med en indbygget let-at-bruge password manager, der styrer brugernes gemt login-oplysninger til automatisk udfyldning af formularer.

Hvor tredjepart Scripts Exploit Browser indbyggede login / Password Ledere

I deres forskning, eksperterne ”vise, hvordan tredjeparts scripts udnytte browseres indbyggede login ledere (også kaldet password ledere) at hente og exfiltrate bruger-id'er uden brugerens bevidsthed.”Dette er måske den første officielle forskning for at vise, at login-ledere er ved at blive misbrugt af tredjeparts scripts i forbindelse med web-sporing.

Hvad er for det meste generende her er, at denne type sårbarhed i login ledere til browsere har været kendt i et stykke tid.

En stor del af det seneste diskussion har fokuseret på password udsivning af ondsindede scripts gennem cross-site scripting (XSS) angreb, forskerne forklarede. Den gode nyhed er, at holdet ikke har fundet adgangskode tyveri på 50,000 sites, der blev analyseret i fremgangsmåden. I stedet, Forskerne fandt sporingsscripts indlejret med den første part misbruger den samme teknik til at udtrække e-mails adresser for at skabe sporing identifikatorer.

Forskere kom på tværs sporing scripts på hjemmesider, der injicerer usynlige login formular i baggrunden af ​​siden. Dette vildleder browserbaserede password ledere og gør dem automatisk udfylde formularen med den gemte brugerens legitimationsoplysninger.

Login formular auto fyldning i almindelighed ikke kræver brugerinteraktion; alle de store browsere vil autoudfylde brugernavnet (ofte en email-adresse) med det samme, uanset synligheden af ​​formen.

Hvordan Din e-mail bliver en fremragende Tracking Identifier

Chrome især ikke automatisk fylde password feltet indtil brugeren klikker eller rører overalt på siden. Resten af ​​browsere forskerne undersøgte ikke kræver nogen brugerinteraktion til auto-fuld adgangskodefelter. Hvad der normalt sker, er, at disse scrips registrerer brugernavnet på den bruger og sende den til tredjepartsservere, men først brugernavne er hashet med MD4, SHA1 og SHA256 algoritmer. Denne information kan bruges som en vedvarende bruger-id til at spore, at brugeren fra side til side, forskere forklare.

E-mail adresser er unikke og vedholdende, og dermed hash af en email-adresse er en fremragende sporing identifikator. En brugers e-mail-adresse vil næsten aldrig ændre-clearing cookies, ved hjælp af privat browsing-tilstand, eller kontaktanordninger vil ikke forhindre sporing.

relaterede Story: Google ved om dig, Vide om Google!

Heldigvis, tredjeparts password ledere er ikke sårbare over for denne form for ”markedsføring” angreb. De fleste password ledere undgå auto-udfyldning usynlige former og kræver brugerinteraktion at bruge dem. Med hensyn til de indbyggede browser password ledere, den nemmeste måde at forhindre denne opførsel fra nogensinde finder sted, er ved at deaktivere AutoFill funktion i browseren.

Forskere har givet en demo side, hvor brugerne kan prøve hvorvidt deres browsere password ledere udsætte brugernavne og adgangskoder.

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Relaterede indlæg:
  1. Sådan fjernes Phishing-svindel i 2021 Denne artikel er lavet for at hjælpe dig...
  2. Citadel Malware med en ny version Targeting Password Ledere The Citadel Trojan has a new target – password managers...
  3. 25 Værste Passwords Version 2015. Er din adgangskode en af ​​dem? Ved at bruge adgangskoder, der er kort og let at huske,...
  4. Password Day 2016. Sådan fejrer du! Did you know that Password Day is celebrated on May...
  5. FAQ Passwords, Embrace Sikkerhed If your offline reality pretty much involves around being onlinе...
  6. Aggregerede Database udsætter 1.4 Mia klar tekst legitimationsoplysninger Weak password security continues to be a huge issue despite...
  7. Hvilket er den mest sikre browser for 2018 - Krom, Firefox, IE, Edge, Safari?   Website Markedsandel Sikkerhedsopdateringer dækker sikkerhedstilføjelsessikkerhed....
  8. Ny skumme Trend: Injektion Ondsindede Scripts ind Routere Cybercriminals appear to be working on a new way to...

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig