追跡スクリプトはブラウザを悪用します’ 組み込みのパスワードマネージャー

現代の広告技術はしばしば境界性の悪意のあるものです, 特にマーケティング会社がユーザーの個人情報を収集する方法に関しては. のチーム 研究者 プリンストンの情報技術政策センターから、少なくとも2つのマーケティング会社が組み込みのパスワードマネージャーを積極的に利用して、何千ものWebサイトの訪問者を追跡していることがわかりました。.

少なくとも10年間知られているまったく同じループホープにより、攻撃者はユーザーの保存されたユーザー名とパスワードをブラウザーから盗むこともできます。 相互作用を必要とせずに そしてユーザーの知らないうちに.

さらに悪いことに、GoogleChromeなどのすべての主要で広く使用されているブラウザ, Mozilla Firefox, オペラ, およびMicrosoftEdgeには、ユーザーが保存したログイン情報を管理して自動フォーム入力を行う、使いやすいパスワードマネージャーが組み込まれています。.

サードパーティのスクリプトがブラウザの組み込みログインを悪用する方法 / パスワードマネージャー

彼らの研究では, 専門家「サードパーティのスクリプトがブラウザの組み込みのログインマネージャをどのように悪用するかを示します (パスワードマネージャーとも呼ばれます) ユーザーの意識なしにユーザーIDを取得して盗み出す.これはおそらく、ログインマネージャがWebトラッキングの目的でサードパーティのスクリプトによって悪用されていることを示す最初の公式調査です。.

ここで最も厄介なのは、ブラウザのログインマネージャにおけるこの種の脆弱性がかなり前から知られていることです。.

過去の議論の多くは、クロスサイトスクリプティングを介した悪意のあるスクリプトによるパスワードの漏えいに焦点を当ててきました (XSS) 攻撃, 研究者は説明した. 幸いなことに、チームはパスワードの盗難を発見していません。 50,000 プロセスで分析されたサイト. その代わり, 研究者は、電子メールアドレスを抽出するために同じ手法を悪用するファーストパーティによって埋め込まれた追跡スクリプトを発見しました 追跡識別子を作成するため.

研究者は、ページの背景に非表示のログインフォームを挿入するWebサイトの追跡スクリプトに出くわしました. これにより、ブラウザベースのパスワードマネージャが誤解され、保存されたユーザーの資格情報がフォームに自動入力されます。.

ログインフォームの自動入力は、一般的にユーザーの操作を必要としません; すべての主要なブラウザはユーザー名を自動入力します (多くの場合、メールアドレス) すぐに, フォームの可視性に関係なく.

あなたのEメールがどのように優れた追跡識別子になるか

特にChromeは、ユーザーがページの任意の場所をクリックまたはタッチするまで、パスワードフィールドを自動入力しません。. 研究者が調査した残りのブラウザは、パスワードフィールドを自動入力するためにユーザーの操作を必要としません. 通常起こることはそれです これらのスクリプトは、ユーザーのユーザー名を検出します サードパーティのサーバーに送信します, ただし、最初にユーザー名はMD4でハッシュされます, SHA1およびSHA256アルゴリズム. この情報は、ページ間でそのユーザーを追跡するための永続的なユーザーIDとして使用できます。, 研究者は説明します.

メールアドレスは一意で永続的です, したがって、電子メールアドレスのハッシュは優れた追跡識別子です. ユーザーのメールアドレスはほとんど変更されません—Cookieをクリアします, プライベートブラウジングモードを使用する, またはデバイスを切り替えても追跡が妨げられない.

幸運, サードパーティのパスワードマネージャーは、このタイプの「マーケティング」攻撃に対して脆弱ではありません. ほとんどのパスワードマネージャーは、非表示のフォームの自動入力を避け、それらを使用するにはユーザーの操作が必要です. 内蔵ブラウザのパスワードマネージャについて, この動作が発生しないようにする最も簡単な方法は、ブラウザ内の自動入力機能を無効にすることです。.

研究者は、ユーザーができるデモページを提供しています テスト ブラウザのパスワードマネージャがユーザー名とパスワードを公開しているかどうか.