Istraživači sigurnosti razotkrili su kako su marketinške tvrtke počele iskorištavati jedanaest godina staru grešku ugrađenu u upravljane zaporki na internetskom pregledniku, što im omogućuje tajnu krađu vašeg e-mail naslova s ciljem oglašavanja na različitim preglednicima i uređajima.
Najviše brine to što ovaj nedostatak dopušta zlonamjernicima krađu vašeg pohranjenog korisničkog imena i zaporke iz preglednika, bez vašeg odobrenja.
Svaki moderni preglednik – Google Chrome, Mozilla Firefox, Opera Microsoft Edge – ima ugrađen alat za upravljanje zaporkama, koji je jednostavan za uporabu i koji omogućuje pohranu podataka kod login-a tako da svaki sljedeći puta pristupa automatski bez prethodnih radnji.
Ovi upravitelji zaporkama koji su ugrađeni na preglednike vrlo su praktično osmišljeni, jer automatski prepoznaju prijavni obrazac na mrežnoj stranici i ispunjavaju pohranjene podatke u skladu s njim.
Skupina istraživača s Centar for Information Technology Policy iz Princetona otkrila je da najmanje dvije marketinške tvrtke, AdThink i OnAudience, aktivno iskorištavaju ovu ugrađenu grešku da bi uhodile oko 1,110 posjetitelje na milijun internetskih stranica.
Uhodili su korisnike preko osmišljenih skripti na tim mrežnim stranicama, tako što su ugradili nevidljivi login obrazac u pozadini stranice, varajući upravitelje zaporki prilikom automatskog popunjavanja obrasca spremljenim podatcima korisnika.
»Automatsko popunjavanje obrasca za prijavu u načelu ne zahtjeva interakciju korisnika; svi poznati preglednici će izravno popuniti korisničko ime (često i e-mail naslov), nevezano o vidljivosti obrasca« kažu istraživači.
»Chrome ne ispunjava polje zaporke sve dok korisnik ne klikne/dodiruje negdje na stranici. Ostali preglednici koje smo provjeravali ne zahtijevaju interakciju pri ispunjavanju polja zaporke.«
Budući da su skripti prvenstveno namijenjeni praćenju korisnika, otkrivaju korisničko ime i šalju ga na server trećoj strani – nakon što su izbrisani algoritmom MD5,SHA1 i SHA256 – koja ga može rabiti kao trajni ID za praćenje određenih korisnika od stranice do stranice .
»E-mail naslovi su jedinstveni i trajni, hash e-mail naslova odličan je identifikator praćenja«, kažu istraživači. »Korisnički e-mail naslov gotovo se nikad ne mijenja – brisanje kolačića, upotreba privatnog načina pregledavanja ili promjena uređaja neće spriječiti praćenje.«
Iako su istraživači uočili da marketinške tvrtke uzimaju korisnička imena rabeći takvu skriptu za uhođenje, ne postoji tehnička mjera koja bi spriječila takav način prikupljanja podataka.
Međutim, većina upravitelja zaporki, kao LastPass i 1Password, nisu skloni ovakvim napadima, jer izbjegavaju automatsko popunjavanje nevidljivih obrazaca i zahtijevaju interakciju.
Istraživači su izradili demo stranicu na kojoj možete testirati ispušta li vaš upravitelj zaporki podatke, korisničko ime i zaporku, nevidljivim obrascima.
