Gadgetshowto
Prohlížeče - používáme je všichni a mnoho lidí (jako je ten váš) je používá téměř výhradně.
Jednou z nejlepších věcí na moderních prohlížečích jsou samozřejmě jejich integrovaní správci hesel. Každý web, který má svá vlastní pravidla pro vytváření hesel, může uživatelům, kteří pravidelně vytvářejí přihlašování na více webech, připadat správa těchto různých hesel jako noční můra. To je důvod, proč se správci hesel na základě prohlížeče stali nejrozšířenější formou ukládání hesel. Koneckonců, kdo si dokonce dokáže pamatovat všechna svá přihlášení? A i když můžete, proč byste chtěli ztrácet čas psaním všeho, když to váš webový prohlížeč může za vás automaticky vyplnit.
A tak se dostáváme k problému. Nějakou dobu jsme věděli o nedestruktivních cookies a sledovačích, kteří sledují uživatele kolem při procházení. Do značné míry to souvisí s reklamními agenturami a marketingovými společnostmi, které se snaží vybudovat obrovskou databázi uživatelů, zachycující údaje o jejich zájmech, demografických údajích atd., Aby je pak mohly znovu prodat jiným firmám nebo je použít pro cílené reklamy..
Útočníci s více zákeřnými úmysly však mohou pomocí stejných sledovačů hackovat vaše hesla ve správcích hesel.
Podle výzkumníků z Princetonské univerzity Gunes Acar, Stevena Englehardta a Arvinda Narayanana obsahuje spousta webů skripty pro sledování, které zneužívají správce přihlašovacích údajů webového prohlížeče k získávání e-mailů a hesel uživatelů.
Zatímco skutečnost, že správci přihlášení k webovému prohlížeči mohou být zneužiti škodlivým kódem pomocí XSS ke krádeži přihlašovacích údajů uživatele, je známa již dlouho, vědci tvrdí, že je to poprvé, co někdo zjistil, že se správci přihlášení používají sledování uživatelů.
Zde je ukázka toho, jak útok funguje, z hlediska tak jednoduchého, jak je můžeme udělat:
- Uživatel se zaregistruje na webu a uloží své přihlašovací údaje do integrovaného správce přihlášení v prohlížeči.
- Uživatel přejde na jinou webovou stránku na stejném webu, ale tentokrát je k dispozici sledovací skript, který ukradne informace.
- Skript dělá, je vložit na stránku falešné přihlašovací pole. Mnoho prohlížečů automaticky vyplňuje přihlašovací pole bez jakékoli interakce uživatele a některé, jako je Chrome, je automaticky vyplňují, jakmile uživatel načte stránku. V obou případech se přihlašovací pole vyplní.
- Skript poté pokračuje k zachycení přihlašovacích údajů a odešle hash e-mailu zpět na server ke sledování.
Nyní vyvstává otázka, proč hash? Odpověď je jednoduchá. Většinou lze předpokládat, že se e-mail uživatele během jeho životnosti nemění. Hash je tedy trvalý způsob sledování uživatele na více webech, platformách a dokonce i v mobilních aplikacích na které používají své e-maily. Tyto informace sledovače používají k vytvoření propracované databáze uživatelů založené na více faktorech, což jim umožňuje snadno cílit na uživatele pro zobrazování reklam a více škodlivých záměrů, pokud chtějí. Například uživatelé často používají stejnou kombinaci e-mailu a hesla pro různé webové stránky. Pokud tedy útočník prolomí jedno heslo spojené s e-mailem, může mít také přístup k dalším účtům jednoduše pomocí stejných hesel nebo variant s malými změnami.
Vědci našli dva skripty, které pomocí této techniky kradly data, a to dost děsivě, skripty byly vloženy do 1110 nejlepších 1 milionu webů Alexa.
Adthink, jedna ze společností využívajících skripty, podle výzkumníků obsahuje velmi podrobné kategorie údajů o uživatelích, které shromažďuje, včetně věcí jako vzdělání, povolání, barva vlasů, barva očí, čistý příjem a další. Obsahuje dokonce kategorie jako alkohol a tabák.
Zranitelnosti, jako je tato, nejsou nic nového; ve skutečnosti jsou známí a diskutováni nejméně 11 let. Prodejci prohlížečů na tom však nepracují, protože pokud jde o uživatelskou zkušenost, vše funguje dobře - prohlížeč automaticky vyplňuje hesla do přihlašovacích polí, uživatelé šetří čas a mohou svobodně používat složitá hesla, která podstatně zvyšují zabezpečení na webu.
Co s tím tedy můžeme dělat? Vědci zmiňují tři různé způsoby řešení problému, jako je tento.
- Tvůrci webových stránek mohou umisťovat přihlašovací formuláře do samostatných subdomén, což brání automatickému vyplňování v práci na jiných webových stránkách, k nimž mohou být připojeny sledovací skripty třetích stran.
- Uživatelé mohou k automatickému blokování těchto skriptů použít blokátory reklam a rozšíření proti sledování.
- Webové prohlížeče mohou (a měly by) uživatelům umožnit úplné vypnutí funkce automatického vyplňování. Zní to trochu extrémně, ale pokud se uživatel obává o svá data, deaktivace automatického vyplňování je pravděpodobně jeho nejlepší sázka.
Útok je poměrně snadno proveditelný a má vážné důsledky na soukromí uživatele. Pokud vás zajímá, jak to funguje, můžete si to v akci vyzkoušet v akci.
Kromě toho je moudré vybudovat si návyk pro dobré postupy při používání hesla. Neopakujte stejné heslo pro všechna klíčová přihlášení. Pravidelně je obměňujte a ujistěte se, že nejsou tvořena snadno identifikovatelnými slovy nebo čísly, jako je vaše datum narození nebo 12345678, nebo nedej bože slovo, heslo!
Co si tedy myslíte? Máte pocit, že automatické vyplňování je v dnešní době vážnou hrozbou pro soukromí, a používáte automatické vyplňování stejně? Dejte nám vědět v komentářích níže.
