Moderne Werbetechniken sind oft grenzwertig böswillige, vor allem, wenn es um die Art und Weise kommt sammeln Marketing-Unternehmen persönliche Informationen der Nutzer. Ein Team von Forscher von Princeton Center for Information Technology Politik gerade entdeckt, dass mindestens zwei Marketing-Unternehmen nutzen aktiv einnehmen integrierten Passwort-Manager Besucher von Tausenden von Websites zu verfolgen.
Die gleiche loophope, die seit mindestens einem Jahrzehnt bekannt ist könnte auch Angreifer Benutzer gespeichert Benutzernamen und Passwörter von Browsern zu stehlen ohne Interaktion erfordert, und ohne Kenntnis des Anwenders.
Was noch schlimmer ist, dass alle wichtige und weit verbreitete Browser wie Google Chrome, Mozilla Firefox, Oper, und Microsoft Edge ist ausgestattet mit einem eingebauten in einfach zu bedienende Passwort-Manager, die Benutzer gespeicherten Anmeldeinformationen für die automatischen Ausfüllen von Formularen verwaltet.
Wie Third-Party-Scripts Exploit Browsers Built-In Anmeldung / Passwort-Manager
In ihrer Forschung, die Experten "zeigen, wie Drittanbieter-Skripte Browser Einbau-Login-Manager ausnutzen (auch Passwort-Manager genannt) Benutzerkennungen ohne Wissen des Benutzers abrufen und exfiltrate.“Dies ist vielleicht die erste offizielle Forschung, die Login-Manager zu zeigen, werden von Drittanbietern Skripte für die Zwecke des Web-Tracking missbraucht.
Was lästig ist meist dabei ist, dass diese Art von Schwachstelle in Login-Manager für Browser schon seit geraumer Zeit ist bekannt,.
Ein großer Teil der Vergangenheit Diskussion wurde durch bösartige Skripte durch Cross-Site-Scripting auf Passwort exfiltration fokussiert (XSS) Anschläge, Die Forscher erklärten,. Die gute Nachricht ist, dass das Team auf die nicht durch ein Passwort Diebstahl gefunden 50,000 Seiten, die in dem Prozess analysiert. Stattdessen, Forscher fanden heraus, Tracking-Skripts von der ersten Partei eingebettet die gleiche Technik zu missbrauchen E-Mail Adressen zu extrahieren für die Erstellung von Verfolgungs Identifikatoren.
Die Forscher kamen über Tracking-Skripte auf Webseiten, die im Hintergrund der Seite unsichtbar Login-Formulare injizieren. Dies verleitet Browser-basierten Passwort-Manager und stellt sie automatisch füllen Sie das Formular mit den Anmeldeinformationen des Benutzers gespeichert.
Anmeldeformular auto Füllung im Allgemeinen keine Benutzerinteraktion erfordern; alle großen Browser werden automatisch zu füllen Sie den Benutzernamen (oft eine E-Mail-Adresse) sofort, unabhängig von der Sichtbarkeit der Form.
Wie Sie Ihre E-Mail wird zu einem Excellent-Tracking-Identifier
Chrome insbesondere nicht automatisch füllen Sie das Passwort-Feld, bis der Benutzer klickt oder berührt irgendwo auf der Seite. Der Rest des Browser die Forscher untersucht, erfordert keine Interaktion mit dem Benutzer zu auto-Voll Passwort-Feldern. Was geschieht in der Regel ist, dass Diese Scripte erkennen den Benutzernamen des Benutzers und an Server von Drittanbietern senden, aber zuerst werden die Benutzernamen mit MD4 gehasht, SHA1 und SHA256-Algorithmen. Diese Informationen können als persistente Benutzer-ID verwendet werden, von Seite zu Seite, dass die Benutzer zu verfolgen, Forscher erklären.
E-Mail-Adressen sind eindeutig und persistent, und damit die Hash einer E-Mail-Adresse ist eine ausgezeichnete Spurkennung. Der E-Mail-Adresse des Benutzers wird fast nie ändern Clearing-Cookies, mit Private-Browsing-Modus, oder Schaltvorrichtungen nicht verhindern Tracking.
Zum Glück, Drittanbieter-Passwort-Manager sind für diese Art von „Marketing“ Angriffe nicht anfällig. Die meisten Passwort-Manager vermeiden Auto-Ausfüllen unsichtbare Formen und erfordern Interaktion mit dem Benutzer, sie zu benutzen. Wie bei dem integrierten Browser Passwort-Manager, der einfachste Weg, um dieses Verhalten zu verhindern, dass überhaupt stattfindet, ist durch die Autofill-Funktion im Browser zu deaktivieren.
Forscher haben eine Demo-Seite zur Verfügung gestellt, wo Nutzer können Test ob Passwort ihre Browser-Manager Benutzernamen und Passwörter aussetzen.