Hur webbspårare utnyttjar lösenordshanterare

Prova Vårt Instrument För Att Eliminera Problem

De flesta webbläsare har en inbyggd lösenordshanterare, ett grundläggande verktyg för att spara inloggningsdata i en databas och fylla i formulär och / eller logga in på webbplatser automatiskt med hjälp av informationen i databasen.

Användare som vill ha mer funktionalitet förlitar sig på tredjepartslösenordshanterare som LastPass, KeePass eller Dashlane. Dessa lösenordshanterare lägger till funktionalitet och kan installeras som webbläsartillägg eller skrivbordsprogram.

Forskning från Princetons Center for Information Technology Policy föreslår att nyupptäckta webbspårare utnyttjar lösenordshanterare för att spåra användare.

Spårningsskripten utnyttjar en svaghet i lösenordshanterare. Vad som händer är enligt forskarna följande:

  1. En användare besöker en webbplats, registrerar ett konto och sparar data i lösenordshanteraren.
  2. Spårningsskriptet körs på tredjepartswebbplatser. När en användare besöker webbplatsen injiceras inloggningsformulär på webbplatsen osynligt.
  3. Webbläsarens lösenordshanterare kommer att fylla i uppgifterna om en matchande webbplats finns i lösenordshanteraren.
  4. Skriptet upptäcker användarnamnet, hasker det och skickar det till tredjepartsservrar för att spåra användaren.

Följande grafiska representation visualiserar arbetsflödet.

password manager web tracker exploit

Forskarna analyserade två olika skript utformade för att utnyttja lösenordshanterare för att få identifierbar information om användare. De två skripten, AdThink och OnAudience, injicerar osynliga inloggningsformulär på webbsidor för att hämta användarnamn som returneras av webbläsarens lösenordshanterare.

Skriptet beräknar hashes och skickar dessa hash till tredje parts servrar. Hash används för att spåra användare över webbplatser utan användning av cookies eller andra former av användarspårning.

Användarspårning är en av de heliga gralterna för online-annonsering. Företag använder uppgifterna för att skapa användarprofiler som registrerar användarintressen baserat på ett antal faktorer, till exempel baserat på de besökta webbplatserna - Sport, underhållning, politik, vetenskap - eller från vilken en användare ansluter till Internet.

Skript som forskarna analyserade fokuserar på användarnamnet. Ingenting hindrar andra skript från att dra lösenordsdata också, något som skadliga skript har försökt redan tidigare.

Forskarna analyserade 50 000 webbplatser och hittade inga spår av lösenordsdumpning på någon av dem. De hittade spårningsskripten på 1 100 av de 1 miljon Alexa webbplatserna dock.

Följande skript används:

  • AdThink: https://static.audienceinsights.net/t.js
  • OnAudience: http://api.behavioralengine.com/scripts/be-init.js

AdThink

opt-out tracking

Adthink-skriptet innehåller mycket detaljerade kategorier för personliga, ekonomiska, fysiska egenskaper, liksom avsikter, intressen och demografi.

Forskarna beskriver skriptets funktionalitet på följande sätt:

  1. Skriptet läser e-postadressen och skickar hash MD5, SHA1 och SHA256 till säkert.audiencesights.net.
  2. En annan förfrågan skickar MD5-hash för e-postadressen till datamäklaren Acxiom (p-eu.acxiom-online.com)

Internetanvändare kan kontrollera statusen för spårning och välja bort insamlingen av data på denna sida .

OnAudience

OnAudience-skriptet är 'oftast närvarande på polska webbplatser'.

  1. Skriptet beräknar MD5-hash av e-postadresser och även andra webbläsardata som vanligtvis används för fingeravtryck (MIME-typer, plugins, skärmdimensioner, språk, information om tidszon, användaragentsträng, OS och CPU-information).
  2. En annan hash genereras baserat på data.

Skydd mot spårning av inloggningsformulär

Användare kan installera innehållsblockerare för att blockera förfrågningar till de domäner som nämns ovan. De EasyPrivacy listan gör det redan, men det är tillräckligt enkelt att lägga till URL: erna till svartlistan manuellt.

Ett annat försvar är att inaktivera automatisk infyllning av inloggningsdata. Firefox-användare kan ställa in preferensen för: config? Filter = signon.autofillForms till falsk för att inaktivera autofyllning.

Stängande ord

Skivar reklambranschen sin egen grav? Invasiva spårningsskript är ännu ett skäl för användare att installera annons- och innehållsblockerare i webbläsare.

Ja, den här webbplatsen har också annonser. Jag önskar att det fanns ett annat alternativ att driva en oberoende webbplats, eller ett företag som skulle erbjuda inhemska annonslösningar som bara körs på servern som en webbplats kör på, och som inte kräver tredjepartsanslutningar eller använder spårning.

Du kan stödja oss igenom Patreon , PayPal , eller genom att lämna en kommentar / sprida ordet på Internet.