Web跟踪器如何利用密码管理器

科技2020-09-22 13:45:15
导读

大多数Web浏览器都带有内置的密码管理器,这是一种用于将登录数据保存到数据库中并使用数据库中的信息自动填写表单和/或登录站点的基本工具。

想要更多功能的用户依赖于第三方密码管理器,例如LastPass,KeePass或Dashlane。这些密码管理器添加了功能,并且可以作为浏览器扩展或桌面程序安装。

研究由普林斯顿大学的信息技术中心政策建议,新发现的网络跟踪器利用密码管理器来跟踪用户。

跟踪脚本利用了密码管理器的弱点。研究人员表示,将发生以下情况:

用户访问网站,注册帐户,然后将数据保存在密码管理器中。

跟踪脚本在第三方站点上运行。当用户访问该站点时,登录表单将被不可见地注入该站点。

如果在密码管理器中找到匹配的站点,则浏览器的密码管理器将填写数据。

该脚本检测用户名,对其进行哈希处理,然后将其发送给第三方服务器以跟踪用户。

下图显示了工作流程。

密码管理器Web跟踪器利用

研究人员分析了两种不同的脚本,这些脚本旨在利用密码管理器来获取有关用户的可识别信息。这两个脚本AdThink和OnAudience在网页中注入了不可见的登录表单,以检索由浏览器的密码管理器返回的用户名数据。

该脚本计算哈希并将这些哈希发送到第三方服务器。哈希用于在不使用Cookie或其他形式的用户跟踪的情况下跨站点跟踪用户。

用户跟踪是在线广告的圣地之一。公司使用这些数据来创建用户个人资料,这些个人资料会基于多种因素来记录用户的兴趣,例如,基于访问的网站(体育,娱乐,政治,科学)或用户连接互联网的位置。

研究人员分析的脚本着重于用户名。但是,其他脚本也无法阻止提取密码数据,而恶意脚本过去已经尝试过这种操作。

研究人员对50,000个网站进行了分析,结果发现在任何网站上都没有密码泄露的痕迹。但是,他们确实在前100万个Alexa网站中的1100个中找到了跟踪脚本。

使用以下脚本:

AdThink:https://static.audienceinsights.net/t.js

OnAudience:http://api.behavioralengine.com/scripts/be-init.js

AdThink

退出跟踪

Adthink脚本包含有关个人,财务,身体特征以及意图,兴趣和人口统计的非常详细的类别。

研究人员通过以下方式描述了脚本的功能:

该脚本读取电子邮件地址,并将MD5,SHA1和SHA256哈希发送到secure.audiencesights.net。

另一个请求将电子邮件地址的MD5哈希发送到数据代理Acxiom(p-eu.acxiom-online.com)

互联网用户可以检查跟踪状态,并选择退出此页面上的数据收集。

OnAudience

OnAudience脚本是“波兰网站上最常见的脚本”。

该脚本计算电子邮件地址的MD5哈希值,以及其他通常用于指纹识别的浏览器数据(MIME类型,插件,屏幕尺寸,语言,时区信息,用户代理字符串,操作系统和CPU信息)。

根据数据生成另一个哈希。

防止登录表单Web跟踪

用户可以安装内容阻止程序以阻止对上述域的请求。该EasyPrivacy名单确实已经,但它是足够容易的URL手动添加到黑名单。

另一个防御措施是禁用登录数据自动填充。Firefox用户可以将首选项about:config?filter = signon.autofillForms设置为false以禁用自动填充。

结束语

广告出版业是否在铲自己的坟墓?入侵跟踪脚本是用户在网络浏览器中安装广告和内容阻止程序的另一个原因。

是的,该网站也有广告。我希望有另一个选择来运行独立站点,或者希望一家公司提供仅在运行该站点的服务器上运行并且不需要第三方连接或使用跟踪的本地广告解决方案的公司。

免责声明:本文由用户上传,如有侵权请联系删除!