Web跟蹤器如何利用密碼管理器

大多數(shù)Web瀏覽器都帶有內(nèi)置的密碼管理器，這是一種用于將登錄數(shù)據(jù)保存到數(shù)據(jù)庫中并使用數(shù)據(jù)庫中的信息自動填寫表單和/或登錄站點的基本工具。

想要更多功能的用戶依賴于第三方密碼管理器，例如LastPass，KeePass或Dashlane。這些密碼管理器添加了功能，并且可以作為瀏覽器擴展或桌面程序安裝。

研究由普林斯頓大學的信息技術中心政策建議，新發(fā)現(xiàn)的網(wǎng)絡跟蹤器利用密碼管理器來跟蹤用戶。

跟蹤腳本利用了密碼管理器的弱點。研究人員表示，將發(fā)生以下情況：

用戶訪問網(wǎng)站，注冊帳戶，然后將數(shù)據(jù)保存在密碼管理器中。

跟蹤腳本在第三方站點上運行。當用戶訪問該站點時，登錄表單將被不可見地注入該站點。

如果在密碼管理器中找到匹配的站點，則瀏覽器的密碼管理器將填寫數(shù)據(jù)。

該腳本檢測用戶名，對其進行哈希處理，然后將其發(fā)送給第三方服務器以跟蹤用戶。

下圖顯示了工作流程。

密碼管理器Web跟蹤器利用

研究人員分析了兩種不同的腳本，這些腳本旨在利用密碼管理器來獲取有關用戶的可識別信息。這兩個腳本AdThink和OnAudience在網(wǎng)頁中注入了不可見的登錄表單，以檢索由瀏覽器的密碼管理器返回的用戶名數(shù)據(jù)。

該腳本計算哈希并將這些哈希發(fā)送到第三方服務器。哈希用于在不使用Cookie或其他形式的用戶跟蹤的情況下跨站點跟蹤用戶。

用戶跟蹤是在線廣告的圣地之一。公司使用這些數(shù)據(jù)來創(chuàng)建用戶個人資料，這些個人資料會基于多種因素來記錄用戶的興趣，例如，基于訪問的網(wǎng)站(體育，，政治，科學)或用戶連接互聯(lián)網(wǎng)的位置。

研究人員分析的腳本著重于用戶名。但是，其他腳本也無法阻止提取密碼數(shù)據(jù)，而惡意腳本過去已經(jīng)嘗試過這種操作。

研究人員對50,000個網(wǎng)站進行了分析，結果發(fā)現(xiàn)在任何網(wǎng)站上都沒有密碼泄露的痕跡。但是，他們確實在前100萬個Alexa網(wǎng)站中的1100個中找到了跟蹤腳本。

使用以下腳本：

AdThink：https：//static.audienceinsights.net/t.js

OnAudience：http：//api.behavioralengine.com/scripts/be-init.js

AdThink

退出跟蹤

Adthink腳本包含有關個人，財務，身體特征以及意圖，興趣和人口統(tǒng)計的非常詳細的類別。

研究人員通過以下方式描述了腳本的功能：

該腳本讀取電子郵件地址，并將MD5，SHA1和SHA256哈希發(fā)送到secure.audiencesights.net。

另一個請求將電子郵件地址的MD5哈希發(fā)送到數(shù)據(jù)代理Acxiom(p-eu.acxiom-online.com)

互聯(lián)網(wǎng)用戶可以檢查跟蹤狀態(tài)，并選擇退出此頁面上的數(shù)據(jù)收集。

OnAudience

OnAudience腳本是“波蘭網(wǎng)站上最常見的腳本”。

該腳本計算電子郵件地址的MD5哈希值，以及其他通常用于指紋識別的瀏覽器數(shù)據(jù)(MIME類型，插件，屏幕尺寸，語言，時區(qū)信息，用戶代理字符串，操作系統(tǒng)和CPU信息)。

根據(jù)數(shù)據(jù)生成另一個哈希。

防止登錄表單Web跟蹤

用戶可以安裝內(nèi)容阻止程序以阻止對上述域的請求。該EasyPrivacy名單確實已經(jīng)，但它是足夠容易的URL手動添加到黑名單。

另一個防御措施是禁用登錄數(shù)據(jù)自動填充。Firefox用戶可以將首選項about：config?filter = signon.autofillForms設置為false以禁用自動填充。

結束語

廣告出版業(yè)是否在鏟自己的墳墓?入侵跟蹤腳本是用戶在網(wǎng)絡瀏覽器中安裝廣告和內(nèi)容阻止程序的另一個原因。

是的，該網(wǎng)站也有廣告。我希望有另一個選擇來運行獨立站點，或者希望一家公司提供僅在運行該站點的服務器上運行并且不需要第三方連接或使用跟蹤的本地廣告解決方案的公司。