Sve s ciljem oglašavanja: Znate li kako vam kradu podatke s internet preglednika?

Foto: Thnikstock

Istraživači sigurnosti razotkrili su kako su marketinške tvrtke počele iskorištavati jedanaest godina staru grešku ugrađenu u upravljane zaporki na internetskom pregledniku, što im omogućuje tajnu krađu vašeg e-mail naslova s ciljem oglašavanja na različitim preglednicima i uređajima.

Tekst se nastavlja ispod oglasa

Najviše brine to što ovaj nedostatak dopušta zlonamjernicima krađu vašeg pohranjenog korisničkog imena i zaporke iz preglednika, bez vašeg odobrenja.

Svaki moderni preglednik – Google Chrome, Mozilla Firefox, Opera Microsoft Edge – ima ugrađen alat za upravljanje zaporkama, koji je jednostavan za uporabu i koji omogućuje pohranu podataka kod login-a tako da svaki sljedeći puta pristupa automatski bez prethodnih radnji.

Ovi upravitelji zaporkama koji su ugrađeni na preglednike vrlo su praktično osmišljeni, jer automatski prepoznaju prijavni obrazac na mrežnoj stranici i ispunjavaju pohranjene podatke u skladu s njim.

Tekst se nastavlja ispod oglasa

Skupina istraživača s Centar for Information Technology Policy iz Princetona otkrila je da najmanje dvije marketinške tvrtke, AdThink i OnAudience, aktivno iskorištavaju ovu ugrađenu grešku da bi uhodile  oko 1,110  posjetitelje na milijun internetskih stranica.

Uhodili su korisnike preko osmišljenih skripti na tim mrežnim stranicama, tako što su ugradili nevidljivi login obrazac u pozadini stranice, varajući upravitelje zaporki prilikom automatskog popunjavanja obrasca spremljenim podatcima korisnika.

»Automatsko popunjavanje obrasca za prijavu u načelu ne zahtjeva interakciju korisnika; svi poznati preglednici će izravno popuniti korisničko ime (često i e-mail naslov), nevezano o vidljivosti obrasca« kažu istraživači.

Tekst se nastavlja ispod oglasa

»Chrome ne ispunjava polje zaporke sve dok korisnik ne klikne/dodiruje negdje na stranici.  Ostali preglednici koje smo provjeravali ne zahtijevaju interakciju pri ispunjavanju polja zaporke.«

Budući da su skripti prvenstveno namijenjeni praćenju korisnika, otkrivaju korisničko ime i šalju ga na server trećoj strani – nakon što su izbrisani algoritmom MD5,SHA1 i SHA256 – koja ga može rabiti kao trajni  ID za praćenje određenih korisnika od stranice do stranice .

»E-mail naslovi su jedinstveni i trajni, hash e-mail naslova odličan je identifikator praćenja«, kažu istraživači. »Korisnički e-mail naslov gotovo se nikad ne mijenja – brisanje kolačića, upotreba privatnog načina pregledavanja ili promjena uređaja neće spriječiti praćenje.«

Tekst se nastavlja ispod oglasa

Iako su istraživači uočili da marketinške tvrtke uzimaju korisnička imena rabeći takvu skriptu za uhođenje, ne postoji tehnička mjera koja bi spriječila takav način prikupljanja podataka.

Međutim, većina upravitelja zaporki, kao LastPass i 1Password, nisu skloni ovakvim napadima, jer izbjegavaju automatsko popunjavanje nevidljivih obrazaca i zahtijevaju interakciju.

Istraživači su izradili demo stranicu na kojoj možete testirati ispušta li vaš upravitelj zaporki podatke, korisničko ime i zaporku, nevidljivim obrascima.

Najjednostavniji nači za izbjegavanje ovakvih napada je isključiti u pregledniku automatsko popunjavanje.

Tekst se nastavlja ispod oglasa

Tekst se nastavlja ispod oglasa
Podržite nas! Kako bismo Vas mogli nastaviti informirati o najvažnijim događajima i temama koje se ne mogu čitati u drugim medijima, potrebna nam je Vaša pomoć. Molimo Vas podržite Narod.hr s 10, 15, 25 ili više eura. Svaka Vaša pomoć nam je značajna! Hvala Vam! Upute kako to možete učiniti možete pronaći OVDJE

Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na web portalu i društvenim mrežama Narod.hr dopušteno je registriranim korisnicima. Čitatelj koji želi komentirati članke obavezan se prethodno upoznati sa Pravilima komentiranja na web portalu i društvenim mrežama Narod.hr te sa zabranama propisanim člankom 94. stavak 2. Zakona o elektroničkim medijima.