Web跟蹤器如何利用密碼管理器

大多數(shù)Web瀏覽器都帶有內(nèi)置的密碼管理器，這是一種用于將登錄數(shù)據(jù)保存到數(shù)據(jù)庫中并使用數(shù)據(jù)庫中的信息自動填寫表單和/或登錄站點(diǎn)的基本工具。

需要更多功能的用戶依賴于第三方密碼管理器，例如LastPass，KeePass或Dashlane。這些密碼管理器添加了功能，并且可以作為瀏覽器擴(kuò)展或桌面程序安裝。

研究由普林斯頓大學(xué)的信息技術(shù)中心政策建議，新發(fā)現(xiàn)的網(wǎng)絡(luò)跟蹤器利用密碼管理器來跟蹤用戶。

跟蹤腳本利用了密碼管理器的弱點(diǎn)。研究人員表示，將發(fā)生以下情況：

用戶訪問網(wǎng)站，注冊帳戶，然后將數(shù)據(jù)保存在密碼管理器中。

跟蹤腳本在第三方站點(diǎn)上運(yùn)行。當(dāng)用戶訪問該站點(diǎn)時，登錄表單將不可見地注入該站點(diǎn)。

如果在密碼管理器中找到匹配的站點(diǎn)，則瀏覽器的密碼管理器將填寫數(shù)據(jù)。

該腳本檢測用戶名，對其進(jìn)行哈希處理，然后將其發(fā)送給第三方服務(wù)器以跟蹤用戶。

下圖顯示了工作流程。

密碼管理器Web跟蹤器利用

研究人員分析了兩種不同的腳本，這些腳本旨在利用密碼管理器來獲取有關(guān)用戶的可識別信息。這兩個腳本AdThink和OnAudience在網(wǎng)頁中注入了不可見的登錄表單，以檢索由瀏覽器的密碼管理器返回的用戶名數(shù)據(jù)。

該腳本計算哈希并將這些哈希發(fā)送到第三方服務(wù)器。哈希用于在不使用Cookie或其他形式的用戶跟蹤的情況下跨站點(diǎn)跟蹤用戶。

用戶跟蹤是在線廣告的圣地之一。公司使用這些數(shù)據(jù)來創(chuàng)建用戶個人資料，這些個人資料可以基于多種因素來記錄用戶的興趣，例如，基于訪問的網(wǎng)站(體育，娛樂，政治，科學(xué))或用戶連接互聯(lián)網(wǎng)的位置。

研究人員分析的腳本著重于用戶名。但是，其他腳本也無法阻止提取密碼數(shù)據(jù)，而惡意腳本過去已經(jīng)嘗試過這種操作。

研究人員對50,000個網(wǎng)站進(jìn)行了分析，結(jié)果發(fā)現(xiàn)在任何網(wǎng)站上都沒有密碼泄露的痕跡。但是，他們確實(shí)在前100萬個Alexa網(wǎng)站中的1100個中找到了跟蹤腳本。