Moderne reclame technieken vaak borderline kwaadaardige, vooral als het gaat om de manier waarop marketing bedrijven verzamelen van persoonlijke informatie van gebruikers. Een team van onderzoekers van Princeton's Center for Information Technology Policy net ontdekt dat ten minste twee marketing bedrijven actief gebruik te maken van de ingebouwde password managers naar bezoekers van duizenden websites te volgen.
Diezelfde loophope die is bekend voor minstens een decennium zou ook de aanvallers opgeslagen gebruikersnamen en wachtwoorden van gebruikers te stelen van browsers zonder enige interactie en zonder medeweten van de gebruikers.
Wat erger is, is dat alle belangrijke en meest gebruikte browsers zoals Google Chrome, Mozilla Firefox, Opera, en Microsoft Edge zijn uitgerust met een ingebouwde makkelijk te gebruiken password manager die opgeslagen login informatie van gebruikers voor het automatisch invullen van formulieren beheert.
Hoe scripts van derden Exploit Browser ingebouwde Inloggen / wachtwoord Managers
In hun onderzoek, experts “laten zien hoe scripts van derden exploit ingebouwde login managers browsers’ (ook wel password managers) op te halen en exfiltrate gebruiker identifiers zonder dat de gebruiker het bewustzijn.”Dit is misschien wel de eerste officiële onderzoek dat login managers tonen worden misbruikt door derden scripts voor de toepassing van web-tracking.
Wat is meestal lastig hier is dat dit type van kwetsbaarheid in login managers voor browsers is bekend geruime tijd.
Een groot deel van het verleden discussie heeft zich gericht op wachtwoord exfiltratie door kwaadaardige scripts door middel van cross-site scripting (XSS) aanvallen, de onderzoekers verklaard. Het goede nieuws is dat het team niet heeft gevonden diefstal van wachtwoorden op de 50,000 sites die werden geanalyseerd in de werkwijze. Plaats, Onderzoekers vinden trackingscripts ingesloten door de eerste partij misbruik maken van dezelfde techniek om e-mailadressen te extraheren voor het creëren bijhouden identifiers.
Onderzoekers kwam trackingscripts op websites die onzichtbare inlogformulieren injecteren in de achtergrond van de pagina. Dit misleidt browser-gebaseerde password managers en maakt ze automatisch vul het formulier met de gegevens van de opgeslagen gebruiker.
Login formulier automatisch invullen in het algemeen geen interactie van de gebruiker vereist; alle belangrijke browsers zal de gebruikersnaam automatisch invullen (vaak een e-mailadres) per direct, ongeacht de zichtbaarheid van het formulier.
Hoe Uw e-mailadres wordt een uitstekende Tracking Identifier
Chrome in het bijzonder niet automatisch ingevuld het wachtwoord veld, totdat de gebruiker klikt of raakt overal op de pagina. De rest van de browsers de onderzoekers onderzocht vereisen geen interactie van de gebruiker om automatisch volledige wachtwoord velden. Wat meestal gebeurt is dat deze scrips detecteren de gebruikersnaam van de gebruiker en stuur het naar servers van derden, maar eerst de gebruikersnamen gehasht met MD4, SHA1 en SHA256 algoritmen. Deze informatie kan gebruikt worden als een hardnekkige gebruikers-ID voor die gebruiker bijhouden van pagina naar pagina, onderzoekers verklaren.
E-mailadressen zijn uniek en persistent, en daarmee de hash van een e-mailadres is een uitstekende tracking-identifier. het e-mailadres van een gebruiker bijna nooit veranderen-clearing cookies, met behulp van private browsing mode, of schakelinrichtingen zal niet voorkomen volgen.
Gelukkig, derden password managers zijn niet kwetsbaar voor dit soort “marketing” aanvallen. De meeste password managers vermijden automatisch invullen van onzichtbare vormen en vereisen interactie van de gebruiker om ze te gebruiken. Wat betreft de ingebouwde browser wachtwoord managers, de makkelijkste manier om dit gedrag te voorkomen dat het ooit plaatsvinden, is dat door het uitschakelen van het automatisch vullen functie in de browser.
Onderzoekers hebben een demo pagina voorzien waar gebruikers proef of password managers hun browser bloot gebruikersnamen en wachtwoorden.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: