在每次有关互联网安全的对话中,您都会听到一些内容; 其中一个是使用密码管理器。 我已经说过,我的大多数同事已经说过了, 你 可能 已经 说过了,同时帮助其他人找到了保证数据安全和健全的方法。 这仍然是一个很好的建议,但最近普林斯顿大学信息技术政策中心的一项研究发现,您的网络浏览器中用于保密信息的密码管理器也可以帮助广告公司在网络上跟踪您。
这是各方面的可怕场景,主要是因为它不容易修复。 发生的事情不是窃取任何凭据 - 广告公司不想要您的用户名和密码 - 但密码管理器使用的行为正在以非常简单的方式被利用。 广告公司在页面上放置一个脚本(两个名称分别为AdThink和OnAudience),用作登录表单。 它不是真正的登录表单,因为它不会将您连接到任何服务,它只是一个登录脚本。
当您的密码管理器看到登录表单时,它会输入用户名。 测试的浏览器包括:Firefox,Chrome,Internet Explorer,Edge和Safari。 例如,Chrome会在用户与表单进行交互之前不会输入密码,但会自动输入用户名。 这很好,因为这是所有脚本想要或需要的。 正如预期的那样,其他浏览器的行为相同。
输入用户名后,它和您的浏览器ID将被散列为唯一标识符。 您无需在计算机或手机上保存任何内容,因为下次访问使用同一广告公司的网站时,您会获得另一个用作登录表单的脚本,并再次输入您的用户名。 数据与存档文件进行比较,并且已经附加了一个唯一标识符,可以(并且正在)用于在整个网络中跟踪您。 这是有效的,因为这是预期和“可信”的行为。 除了您的互联网习惯的路线图之外,发现附加到此UUID的数据还包括浏览器插件,MIME类型,屏幕尺寸,语言,时区信息,用户代理字符串,操作系统信息和CPU信息。
用于确定将自动填充哪些登录表单的启发式方法因浏览器而异,但基本要求是用户名和密码字段可用
它的工作原理是因为所谓的同源策略。 当呈现来自两个不同来源的内容时,它不被信任,但是一旦信任源,则当前会话的所有内容也是可信的(在这种意义上的信任意味着您有目的地查看内容或与内容交互)。 您已将浏览器定向到网页并与该页面上的登录表单进行交互,因此当您在页面上时,它们都被视为受信任。 但是,在这种情况下,脚本嵌入到页面中,但实际上来自不同的源,在您以某种方式单击或交互以显示您打算在那里之前,不应该信任该脚本。
如果违规页面元素嵌入在iframe或与数据的源和目标匹配的其他方法中,则此漏洞利用的自动化(是的,我将其称为漏洞利用)将不起作用。
嵌入了滥用登录管理器进行跟踪的脚本的已知站点列表
使用利用此行为的广告服务的网络发布商很有可能不知道他们的用户正在发生什么。 虽然这并不能免除他们的责任,但最终他们的产品被用于在不知情的情况下从用户那里收集数据,这应该使每个站点管理员都关注(并且可能非常愤怒)。 作为一个用户,我们除了遵循当我们希望在网络上保持更私密时使用的相同“隐身”网络浏览实践时,我们无能为力。 这意味着阻止所有脚本,阻止所有广告,不保存数据,不接受任何cookie,并基本上将每个网络会话视为自己的沙箱。
唯一真正的解决方法是改变密码管理器通过浏览器工作的方式 - 内置工具和扩展或其他插件。 参与该项目的教授之一Arvind Narayanan简明扼要地说:
这不容易修复,但值得做
谷歌,微软,苹果和Mozilla都将网络塑造成现在的状态,并且能够改变事物来应对新问题。 希望这是一个简短的变化列表。
