登錄管理員濫用第三方腳本進行跟蹤

2019-06-21 16:42:24 編輯：來源：

導(dǎo)讀熱心追蹤您和您的瀏覽習(xí)慣的廣告定位器可以從瀏覽器的密碼管理器中提取數(shù)據(jù)。根據(jù)普林斯頓大學(xué)的研究人員Gunes Acar，Steven Englehardt

熱心追蹤您和您的瀏覽習(xí)慣的廣告定位器可以從瀏覽器的密碼管理器中提取數(shù)據(jù)。

根據(jù)普林斯頓大學(xué)的研究人員Gunes Acar，Steven Englehardt和Arvind Narayanan的說法，網(wǎng)絡(luò)跟蹤器正在利用瀏覽器登錄管理器。

實際上，他們在由普林斯頓大學(xué)信息技術(shù)政策中心主辦的Freedom to Tinker網(wǎng)站上說，一個長期存在的漏洞被第三方腳本濫用，用于跟蹤超過1,000個網(wǎng)站。

普林斯頓信息技術(shù)政策中心的研究人員發(fā)現(xiàn)了兩個第三方跟蹤腳本，可以挖掘瀏覽器登錄管理器提供的信息，以創(chuàng)建持久標(biāo)識符，在網(wǎng)頁之間移動時跟蹤您。這是安全分析師Graham Cluley 的報告，他和其他技術(shù)觀察人員一起注意到團隊的努力。這三個人研究了如何利用網(wǎng)絡(luò)挖掘信息。

The Verge的 Russell Brandom 解釋了三重奏的作用：

簡而言之，他們檢查了兩個不同的腳本，旨在從基于瀏覽器的密碼管理器獲取信息。“這些腳本的工作原理是在網(wǎng)頁的后臺注入隱形登錄表單，并將任何瀏覽器自動填充到可用的插槽中。然后，這些信息可以用作持久ID來跟蹤用戶的頁面到頁面。”

克魯利還向他的讀者介紹了它是如何發(fā)生的：

“您訪問網(wǎng)頁并填寫登錄表單。您的瀏覽器會詢問您是否要保存登錄詳細(xì)信息。稍后，您訪問同一網(wǎng)站上的其他頁面，其中包括第三方跟蹤腳本。跟蹤腳本插入一個肉眼看不見的登錄表單，您的瀏覽器的密碼管理器會自動填寫您的憑據(jù)。第三方腳本會從隱形表單的字段中提取您的電子郵件地址，并將哈希值發(fā)送到第三方服務(wù)器“。

Acar，Englehardt和Narayanan描述了他們的方法論。他們說：“我們從Alexa前100萬個網(wǎng)站中抓取了 50,000個網(wǎng)站。我們采用了以下采樣策略：訪問所有前15,000個網(wǎng)站，隨機抽取Alexa排名范圍內(nèi)的15,000個網(wǎng)站[15,000 100,000]，并隨機抽樣20,000個網(wǎng)站范圍[100,000,1,000,000]。這種組合使我們能夠觀察到高流量和低流量站點的攻擊。“

如果研究人員的名字聽起來有點模糊，那是因為你可能在幾個月前就在新聞中看到過這些，當(dāng)時他們的研究揭示了令人不安的劇本世界。在New Scientist中，Abigail Beall說：“你訪問的網(wǎng)站可能有數(shù)百個腳本在后臺運行;一些存放cookie，其他人跟蹤你到其他網(wǎng)站。”

她報告了普林斯頓大學(xué)的研究人員如何通過網(wǎng)站來檢查他們運行的腳本。她注意到一種稱為會話重放的腳本，它記錄了一個人在網(wǎng)站上所做的事情，包括該人的類型。

與此同時，V3指出“電子郵件地址總是與用于網(wǎng)站或互聯(lián)網(wǎng)服務(wù)注冊的整個數(shù)字足跡相關(guān)聯(lián)。所有這些信息都可以成為尋求針對特定人群或群體的營銷公司的黃金“。

研究人員表示，“所有主流瀏覽器都有內(nèi)置的登錄管理器，可以保存并自動填寫用戶名和密碼數(shù)據(jù)，使登錄體驗更加無縫。”

他們說“用于確定哪些登錄表單將被自動填充的啟發(fā)式方法因瀏覽器而異，但基本要求是用戶名和密碼字段可用。”

此外，使用隱私瀏覽模式清除cookie或切換設(shè)備不會阻止跟蹤。為什么不?“ 電子郵件地址的哈希值可用于連接分散在不同瀏覽器，設(shè)備和移動應(yīng)用程序中的在線個人資料。它還可以作為cookie清除前后瀏覽歷史記錄配置文件之間的鏈接。”

可以做些什么?

Verge：“唯一可靠的解決方案是改變密碼管理器的工作方式，在提交信息之前需要更明確的批準(zhǔn)。”

布蘭登引用Narayanan的話說：“修理起來并不容易，但是值得這樣做，”負(fù)責(zé)該項目的普林斯頓計算機科學(xué)教授Arvind Narayanan說道，“選擇運行侵入式腳本的網(wǎng)站怎么樣?Lax網(wǎng)站運營商允許沒有理解影響的第三方腳本是一個問題。“我們希望看到出版商在他們的網(wǎng)站上更好地控制第三方，”Narayanan說。

周二，安全分析師Cluley稱。他的標(biāo)題是“自動填寫您的用戶名和密碼?不是一個好主意。”

最后，研究小組表示，您可以在他們的實時演示頁面上自行測試攻擊。該演示檢查您的瀏覽器的內(nèi)置登錄管理器是否會自動填寫一個不可見的登錄表單。

標(biāo)簽：登錄管理員