CYBER NOTICIAS

Secuencias de comandos de seguimiento Exploit Navegadores’ Built-In Administradores de Contraseñas

modernas técnicas de publicidad son a menudo el límite malicioso, sobre todo cuando se trata de las formas en las empresas de marketing recopilar información personal de los usuarios. Un equipo de investigadores del centro de Princeton de Política de Informática acaban de descubrir que al menos dos empresas de marketing están tomando ventaja de forma activa una función de gestores de contraseña para rastrear a los visitantes de miles de sitios web.

Artículo relacionado: Verdad y Publicidad IRL: Detener los anuncios orientados de siguiente

El mismo loophope que ha sido conocido durante al menos una década también podría permitir a los atacantes robar nombres de usuario y contraseñas guardadas de los usuarios de navegadores sin requerir ninguna interacción y sin conocimiento de los usuarios.

Lo que es peor es que todos los navegadores más importantes y ampliamente utilizados, como Google Chrome, Mozilla Firefox, Ópera, y Microsoft Edge están equipados con un gestor integrado fácil de usar contraseña que gestiona los usuarios salvado información de acceso para el llenado de formularios automática.

Cómo Terceros Scripts Exploit del navegador incorporado Login / Administradores de contraseñas

En su investigación, los expertos "muestran cómo los scripts de terceros exploten los administradores de inicio de sesión incorporados navegadores (también llamado gestores de contraseña) para recuperar y exfiltrate identificadores de usuario sin el conocimiento del usuario.”Esta es quizás la primera investigación oficial para mostrar que los gestores de inicio de sesión están siendo objeto de abuso por los scripts de terceros a los efectos del seguimiento web.

Lo que es problemático sobre todo aquí es que este tipo de vulnerabilidad en los administradores de inicio de sesión para los navegadores se ha conocido desde hace bastante tiempo.

Gran parte de la discusión el pasado se ha centrado en la exfiltración contraseña por los scripts maliciosos a través de cross-site scripting (XSS) ataques, los investigadores explicaron. La buena noticia es que el equipo no ha encontrado el robo de contraseñas en el 50,000 sitios que se analizaron en el proceso de. En lugar, investigadores encontraron secuencias de comandos de seguimiento incorporados por el primer partido de abusar de la misma técnica para extraer direcciones de correo electrónico para la creación de identificadores de seguimiento.

Los investigadores llegaron a través de secuencias de comandos de seguimiento en los sitios web que inyectan formularios de ingreso invisibles en el fondo de la página. Esto induce a error a los administradores de contraseñas basadas en navegador y los hace auto-rellenar el formulario con las credenciales del usuario salvado.

Login llenado forma automática en general no requiere interacción del usuario; todos los principales navegadores se encargará de autocompletar el nombre de usuario (menudo una dirección de correo electrónico) inmediatamente, independientemente de la visibilidad de la forma.

Cómo Su correo electrónico se convierte en un excelente seguimiento de identificador

Chrome, en particular, no se auto-llenar el campo de la contraseña hasta que el usuario hace clic o toca cualquier parte de la página. El resto de los navegadores de los investigadores examinaron no requiere ninguna interacción del usuario para los campos de contraseña de auto-completa. Lo que suele ocurrir es que estos scrips detectan el nombre de usuario del usuario y enviarla a servidores de terceros, pero primero los nombres de usuario son ordenadas con MD4, SHA1 y SHA256 algoritmos. Esta información puede ser utilizada como un identificador de usuario persistente para realizar un seguimiento de ese usuario de una página a otra, investigadores explican.

direcciones de correo electrónico son únicos y persistente, y por lo tanto el hash de una dirección de correo electrónico es una excelente identificador de seguimiento. dirección de correo electrónico de un usuario casi nunca va a cambiar, borrar las cookies, utilizando el modo de navegación privada, o dispositivos de conmutación no evitarán seguimiento.

Artículo relacionado: Google sabe de ti, Saber acerca de Google!

Afortunadamente, encargados de la contraseña de terceros no son vulnerables a este tipo de ataques “comercialización”. La mayoría de los gestores de contraseña evitar formas invisibles de auto-llenado y requieren la interacción del usuario para utilizarlos. En cuanto a los gestores de contraseña navegador incorporado, la forma más fácil de evitar este comportamiento ha tenido lugar nunca es mediante la desactivación de la función de autocompletar en el navegador.

Los investigadores han proporcionado una página de prueba donde los usuarios pueden prueba si sus gestores de contraseña navegadores exponen usuarios y contraseñas.

Milena Dimitrova

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Se agotó el tiempo límite. Vuelve a cargar de CAPTCHA.

Compartir en Facebook Compartir
Cargando ...
Compartir en Twitter Pío
Cargando ...
Compartir en Google Plus Compartir
Cargando ...
Compartir en Linkedin Compartir
Cargando ...
Compartir en Digg Compartir
Compartir en Reddit Compartir
Cargando ...
Compartir en Stumbleupon Compartir
Cargando ...