標籤:

瀏覽器內置密碼管理器真的安全嗎?第三方腳本程序正在竊取你存儲的密碼數據

近日,據外媒報道稱,安全研究人員發現,已經有市場營銷公司開始利用瀏覽器內置的密碼管理器中一個存在長達11年的安全漏洞,偷偷地竊取你的電子郵件地址,以便在不同的瀏覽器和設備上進行有針對性的廣告投放。除此之外,該漏洞還允許惡意行為者從網頁瀏覽器中提取用戶保存的用於登錄某些網站的登錄信息,如用戶名和密碼。

如今,每個主流瀏覽器(Google Chrome、Mozilla Firefox、Opera或Microsoft Edge)中都配置了內置的易於使用的密碼管理工具,旨在方便用戶的登錄操作,因為它們能夠自動檢測網頁上的登錄表單並自動填入之前保存過的登錄信息。

但是,來自普林斯頓信息技術政策研究中心的一個研究小組卻發現,至少有兩家市場營銷公司——AdThink和OnAudience,正在不斷地利用這種內置的密碼管理器來跟蹤Alexa上排名前100萬的站點中約1110個站點的訪問者信息。

其中Adthink是由專門分析匿名信息的audienceinsights.net所開發,除了獲取電子郵件地址之外,它還搜集了訪問者的生日、年齡、性別、特徵、興趣及所在區域等信息;而OnAudience則是來自提供大數據工具的同名公司,同樣,他們除了獲取電子郵件地址外,也搜集了瀏覽器、辦公系統以及CPU的信息。而這兩家公司搜集數據的目的都是為了進行分析和營銷。

研究人員發現,這些第三方跟蹤腳本程序的主要目的是跟蹤訪問者在網站上的瀏覽行為。當訪問者登錄網站並要求瀏覽器存儲登錄信息後,腳本程序(即藏匿在同一網站上的其它網頁)就會伺機而動,而當一個用戶訪問了該網頁,它就會通過隱藏的登錄表單欺騙基於瀏覽器的密碼管理器使用保存的用戶信息自動填入表單,以此獲取訪問者的登錄信息,如用戶名(通常為電子郵件地址)以及密碼等。

研究人員解釋稱,

一般來說,登錄表單的自動填入不需要和用戶交互,所有主流瀏覽器都會立即自動填入用戶名(通常為電子郵件地址),而不管表單的可見性究竟如何。除Chrome瀏覽器需要用戶點擊或觸摸頁面上的任意位置才會自動填入密碼欄位。我們測試的其他瀏覽器都不需要用戶交互就會自動填入密碼欄位。

由於這些第三方腳本是為了跟蹤用戶為目的而設計的,因此它們會自動檢測用戶名,並在使用MD5、SHA1和SHA256演算法進行hash處理,建立追蹤的身份識別之後將其發送給第三方伺服器。研究人員表示,

電子郵件地址是獨一無二且持久的,因此電子郵件地址的哈希值是一個非常好的跟蹤標識符。用戶的電子郵件地址幾乎不會改變——無論是清除瀏覽記錄、使用隱私瀏覽模式或是交換設備都無法阻止追蹤。」

儘管,研究人員已經發現市場營銷公司正在使用這種跟蹤腳本來獲取用戶的用戶名(可以理解為電子郵件地址)信息,但是目前並沒有技術措施能夠阻止這種腳本以相同的方式收集用戶的密碼信息。

但是,目前大多數第三方密碼管理器,如LastPass和1Password都不容易受到這種攻擊的影響,因為它們避免了自動填入不可見的登錄表單,並且需要進行用戶交互。

研究人員還創建了一個演示頁面,您可以在其中測試基於瀏覽器的密碼管理器是否已經將您的用戶名和密碼泄漏給了不可見的登錄表單。

測試地址:https://senglehardt.com/demo/no_boundaries/loginmanager/

最後,研究人員建議稱,阻止此類攻擊最簡單的方法就是禁用瀏覽器上的「自動填入」功能。

本文翻譯自:thehackernews.com/2018/如若轉載,請註明原文地址: 4hou.com/info/news/9721 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

安全更新!VMware緊急修復旗下產品代碼執行高危漏洞
phpMyAdmin新姿勢getshell
Night專欄文章總匯
據說NSA和美軍已經攻陷了Tor,I2P和虛擬私人網路……
【筆記】滲透全過程剖析

TAG:信息安全 |