A principal preocupação é que a mesma lacuna poderia permitir que atores mal-intencionados roubassem seus nomes de usuário e senhas salvos dos navegadores sem exigir sua interação.
Todo navegador moderno - o Google Chrome, o Mozilla Firefox, o Opera ou o Microsoft Edge - hoje vem com uma ferramenta integrada de gerenciador de senha fácil de usar que permite salvar suas informações de login para o preenchimento automático de formulários.
Esses gerenciadores de senhas baseados no navegador são projetados por conveniência, pois detectam automaticamente o formulário de login em uma página da Web e preenchem as credenciais salvas em conformidade.
No entanto, uma equipe de pesquisadores do Centro de Políticas de Tecnologia da Informação de Princeton descobriu que pelo menos duas empresas de marketing, AdThink e OnAudience, estão explorando ativamente esses gerenciadores de senhas integrados para rastrear os visitantes de cerca de 1.110 dos 1 milhão de sites da Alexa Internet.
Os scripts de rastreamento de terceiros encontrados por pesquisadores nesses sites injetaram formulários de login invisíveis no fundo da página da Web, enganando os gerenciadores de senhas baseados no navegador para preencher automaticamente o formulário usando as informações do usuário salvo.
"O preenchimento automático do formulário de login em geral não requer interação do usuário; todos os navegadores principais irão preencher automaticamente o nome de usuário (geralmente um endereço de e-mail) imediatamente, independentemente da visibilidade do formulário", dizem os pesquisadores.
"O Chrome não enche o campo de senha automaticamente até o usuário clicar ou tocar em qualquer lugar na página. Outros navegadores testados não exigem interação do usuário para preencher automaticamente os campos da senha".
Uma vez que esses scripts são projetados principalmente para o rastreamento de usuários, eles detectam o nome de usuário e enviam-no para servidores de terceiros após o hash com os algoritmos MD5, SHA1 e SHA256, que podem ser usados como um ID persistente para um usuário específico para rastreá-lo / Ela de uma página para outra.
"Os endereços de e-mail são únicos e persistentes e, portanto, o hash de um endereço de e-mail é um excelente identificador de rastreamento", disseram os pesquisadores. "O endereço de e-mail de um usuário quase nunca mudará: limpar cookies, usar o modo de navegação privada ou mudar dispositivos não impedirá o rastreamento".
Embora os pesquisadores tenham descoberto empresas de marketing que usam nomes de usuário usando tais scripts de rastreamento, não há nenhuma medida técnica para evitar que esses scripts coletem suas senhas da mesma maneira.
No entanto, a maioria dos gerenciadores de senhas de terceiros , como LastPass e 1Password, não são propensos a esse ataque, pois evitam preencher automaticamente os formulários invisíveis e também exigem interação do usuário.
Os pesquisadores também criaram uma página de demonstração , onde você pode testar se o gerenciador de senha do seu navegador também escapa seu nome de usuário e senha para formas invisíveis.
A maneira mais simples de evitar tais ataques é desabilitar a função de preenchimento automático em seu navegador.
FONTE:thehackernews.com
Importante saber disso. Obrigado.
ResponderExcluirobrigado eu por acompanhar o nosso Blog :)
Excluir