Как уеб тракерите използват мениджърите на пароли

Повечето уеб браузъри се предлагат с вграден мениджър на пароли, основен инструмент за запазване на данните за вход в база данни и попълване на формуляри и / или влизане в сайтове автоматично, използвайки информацията, която е в базата данни.

Потребителите, които искат повече функционалност, разчитат на мениджъри на пароли на трети страни като LastPass, KeePass или Dashlane. Тези мениджъри на пароли добавят функционалност и могат да се инсталират като разширения на браузъра или настолни програми.

изследване от Центъра за политика на информационните технологии в Принстън предполагат, че новооткритите уеб тракери използват мениджъри на пароли, за да проследяват потребителите.

Сценариите за проследяване използват слабост в мениджърите на пароли. Според изследователите става следното:

  1. Потребителят посещава уебсайт, регистрира акаунт и записва данните в мениджъра на паролите.
  2. Скриптът за проследяване работи на сайтове на трети страни. Когато потребител посети сайта, формулярите за вход се инжектират в него невидимо.
  3. Мениджърът на пароли на браузъра ще попълни данните, ако в мениджъра на пароли се намери съвпадащ сайт.
  4. Скриптът открива потребителското име, хешира го и го изпраща на трети сървъри за проследяване на потребителя.

Следното графично изображение визуализира работния процес.

password manager web tracker exploit

Изследователите анализираха два различни скрипта, предназначени да използват мениджърите на пароли, за да получат идентифицирана информация за потребителите. Двата скрипта, AdThink и OnAudience, инжектират невидими форми за вход в уеб страници, за да извлекат данни от потребителско име, които се връщат от мениджъра на паролите на браузъра.

Скриптът изчислява хешовете и ги изпраща на сървъри на трети страни. Хешът се използва за проследяване на потребители в сайтове без използването на бисквитки или други форми на проследяване на потребителите.

Проследяването на потребителите е един от светите граали на онлайн рекламата. Компаниите използват данните за създаване на потребителски профили, които записват интересите на потребителите въз основа на редица фактори, например въз основа на посетените сайтове - Спорт, Развлечения, Политика, Наука - или от мястото, където потребителят се свързва с Интернет.

Сценариите, които анализираха изследователите, се фокусират върху потребителското име. Нищо обаче не пречи на други скриптове да изтеглят данни за парола, нещо, което злонамерени скриптове са опитвали вече в миналото.

Изследователите са анализирали 50 000 уебсайта и не са открили следи от изхвърляне на парола на нито един от тях. Те обаче намериха проследяващите скриптове в 1100 от най-добрите 1 милиона уебсайтове на Alexa, обаче.

Използват се следните скриптове:

  • AdThink: https://static.audienceinsights.net/t.js
  • OnAudience: http://api.behavioralengine.com/scripts/be-init.js

AdThink

opt-out tracking

Сценарият Adthink съдържа много подробни категории за лични, финансови, физически черти, както и намерения, интереси и демографски данни.

Изследователите описват функционалността на скрипта по следния начин:

  1. Скриптът чете имейл адреса и изпраща хешове MD5, SHA1 и SHA256, за да secure.audiencesights.net.
  2. Друга заявка изпраща MD5 хеш на имейл адреса до брокера на данни Acxiom (p-eu.acxiom-online.com)

Потребителите на интернет могат да проверят състоянието на проследяването и да се откажат от събирането на данни тази страница ,

OnAudience

Сценарият OnAudience е „най-често присъстващ на полските уебсайтове“.

  1. Скриптът изчислява MD5 хеш на имейл адреси, както и други данни на браузъра, които обикновено се използват за отпечатване на пръсти (MIME типове, плъгини, размери на екрана, език, информация за часови зони, низ на потребителски агент, информация за OS и CPU).
  2. Друг хеш се генерира въз основа на данните.

Защита срещу проследяване на формата за вход

Потребителите могат да инсталират блокери за съдържание, за да блокират заявки към споменатите по-горе домейни. Най- EasyPrivacy списък вече прави това, но е достатъчно лесно да добавите URL адресите в черния списък ръчно.

Друга защита е деактивирането на автоматично попълване на данни за вход. Потребителите на Firefox могат да зададат предпочитанието относно: config? Filter = signon.autofillForms на false, за да деактивира автоматично попълване.

Заключителни думи

Дали индустрията за издаване на реклами изтласква собствения си гроб? Инвазивните скриптове за проследяване са още една причина потребителите да инсталират блокиращи реклами и съдържание в уеб браузърите.

Да, този сайт има и реклами. Иска ми се да има друга опция за стартиране на независим сайт или компания, която да предлага решения за собствена реклама, които се изпълняват само на сървъра, на който работи сайт, и не изисква връзки на трети страни или използване на проследяване.

Можете да ни подкрепите чрез Patreon , PayPal или като оставите коментар / разпространение на думата в Интернет.