2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
大多數(shù)Web瀏覽器都帶有內(nèi)置的密碼管理器,這是一種用于將登錄數(shù)據(jù)保存到數(shù)據(jù)庫中并使用數(shù)據(jù)庫中的信息自動填寫表單和/或登錄站點的基本工具。
需要更多功能的用戶依賴于第三方密碼管理器,例如LastPass,KeePass或Dashlane。這些密碼管理器添加了功能,并且可以作為瀏覽器擴展或桌面程序安裝。
研究由普林斯頓大學(xué)的信息技術(shù)中心政策建議,新發(fā)現(xiàn)的網(wǎng)絡(luò)跟蹤器利用密碼管理器來跟蹤用戶。
跟蹤腳本利用了密碼管理器的弱點。研究人員表示,將發(fā)生以下情況:
用戶訪問網(wǎng)站,注冊帳戶,然后將數(shù)據(jù)保存在密碼管理器中。
跟蹤腳本在第三方站點上運行。當(dāng)用戶訪問該站點時,登錄表單將不可見地注入該站點。
如果在密碼管理器中找到匹配的站點,則瀏覽器的密碼管理器將填寫數(shù)據(jù)。
該腳本檢測用戶名,對其進行哈希處理,然后將其發(fā)送給第三方服務(wù)器以跟蹤用戶。
下圖顯示了工作流程。
密碼管理器Web跟蹤器利用
研究人員分析了兩種不同的腳本,這些腳本旨在利用密碼管理器來獲取有關(guān)用戶的可識別信息。這兩個腳本AdThink和OnAudience在網(wǎng)頁中注入了不可見的登錄表單,以檢索由瀏覽器的密碼管理器返回的用戶名數(shù)據(jù)。
該腳本計算哈希并將這些哈希發(fā)送到第三方服務(wù)器。哈希用于在不使用Cookie或其他形式的用戶跟蹤的情況下跨站點跟蹤用戶。
用戶跟蹤是在線廣告的圣地之一。公司使用這些數(shù)據(jù)來創(chuàng)建用戶個人資料,這些個人資料可以基于多種因素來記錄用戶的興趣,例如,基于訪問的網(wǎng)站(體育,娛樂,政治,科學(xué))或用戶連接互聯(lián)網(wǎng)的位置。
研究人員分析的腳本著重于用戶名。但是,其他腳本也無法阻止提取密碼數(shù)據(jù),而惡意腳本過去已經(jīng)嘗試過這種操作。
研究人員對50,000個網(wǎng)站進行了分析,結(jié)果發(fā)現(xiàn)在任何網(wǎng)站上都沒有密碼泄露的痕跡。但是,他們確實在前100萬個Alexa網(wǎng)站中的1100個中找到了跟蹤腳本。
2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。