técnicas de publicidade modernos são muitas vezes fronteira malicioso, especialmente quando se trata das maneiras empresas de marketing de recolher informações pessoais dos usuários. Uma equipe de pesquisadores do Centro de Política de Tecnologia da Informação de Princeton acaba de descobrir que pelo menos duas empresas de marketing estão ativamente aproveitando os gerenciadores de senhas integrados para rastrear visitantes de milhares de sites.
A mesma lacuna que é conhecida há pelo menos uma década também pode permitir que invasores roubem nomes de usuário e senhas salvos de navegadores pelos usuários sem exigir nenhuma interação e sem o conhecimento dos usuários.
O que é pior é que todos os navegadores principais e amplamente usados, como o Google Chrome, Mozilla Firefox, Ópera, e o Microsoft Edge são equipados com um gerenciador de senha fácil de usar integrado que gerencia as informações de login salvas dos usuários para preenchimento automático de formulários.
Como scripts de terceiros exploram o login integrado do navegador / Gerenciadores de senha
Em sua pesquisa, os especialistas “mostram como scripts de terceiros exploram os gerenciadores de login integrados dos navegadores (também chamados de gerenciadores de senhas) para recuperar e exfiltrar identificadores de usuário sem o conhecimento do usuário.”Esta é talvez a primeira pesquisa oficial a mostrar que os gerenciadores de login estão sendo abusados por scripts de terceiros para fins de rastreamento da web.
O que é mais problemático aqui é que este tipo de vulnerabilidade em gerenciadores de login para navegadores é conhecido há algum tempo.
Grande parte da discussão anterior se concentrou na exfiltração de senhas por scripts maliciosos por meio de scripts entre sites (XSS) ataques, os pesquisadores explicaram. A boa notícia é que a equipe não encontrou roubo de senha no 50,000 sites que foram analisados no processo. Em vez de, pesquisadores descobriram que scripts de rastreamento incorporados pela primeira parte abusam da mesma técnica para extrair endereços de e-mail para criar identificadores de rastreamento.
Os pesquisadores encontraram scripts de rastreamento em sites que injetam formulários de login invisíveis no fundo da página. Isso engana os gerenciadores de senhas baseados no navegador e os faz preencher automaticamente o formulário com as credenciais do usuário salvas.
O preenchimento automático do formulário de login em geral não requer interação do usuário; todos os principais navegadores preencherão automaticamente o nome de usuário (frequentemente um endereço de e-mail) imediatamente, independentemente da visibilidade do formulário.
Como seu e-mail se torna um excelente identificador de rastreamento
O Chrome, em particular, não preenche automaticamente o campo de senha até que o usuário clique ou toque em qualquer lugar da página. O restante dos navegadores que os pesquisadores examinaram não requerem nenhuma interação do usuário para preencher automaticamente os campos de senha. O que geralmente acontece é que esses scripts detectam o nome de usuário do usuário e enviá-lo para servidores de terceiros, mas primeiro os nomes de usuário são misturados com MD4, Algoritmos SHA1 e SHA256. Essas informações podem ser usadas como um ID de usuário persistente para rastrear esse usuário de página em página, pesquisadores explicam.
Os endereços de e-mail são únicos e persistentes, e, portanto, o hash de um endereço de e-mail é um excelente identificador de rastreamento. O endereço de e-mail de um usuário quase nunca muda - limpando os cookies, usando o modo de navegação privada, ou a troca de dispositivos não impedirá o rastreamento.
Felizmente, gerenciadores de senhas de terceiros não são vulneráveis a este tipo de ataques de “marketing”. A maioria dos gerenciadores de senha evita o preenchimento automático de formulários invisíveis e exige a interação do usuário para usá-los. Quanto aos gerenciadores de senha do navegador integrados, a maneira mais fácil de evitar que esse comportamento aconteça é desabilitando a função de preenchimento automático no navegador.
Os pesquisadores forneceram uma página de demonstração onde os usuários podem teste se os gerenciadores de senha de seus navegadores expõem nomes de usuário e senhas.