Com expliquen els seguidors web de gestors de contrasenyes

La majoria dels navegadors web compten amb un gestor de contrasenyes integrat, una eina bàsica per guardar les dades d’inici de sessió a una base de dades i omplir formularis i / o iniciar la sessió als llocs automàticament mitjançant la informació que es troba a la base de dades.

Els usuaris que desitgen més funcionalitat es basen en administradors de contrasenyes de tercers com LastPass, KeePass o Dashlane. Aquests gestors de contrasenyes afegeixen funcionalitat i poden instal·lar-se com a extensions del navegador o programes d'escriptori.

Recerca del Centre de Política de Tecnologia de la Informació de Princeton suggereixen que els rastrejadors web recentment descoberts exploten gestors de contrasenyes per fer el seguiment dels usuaris.

Els scripts de seguiment exploten una debilitat en els gestors de contrasenyes. Segons els investigadors, el que passa és el següent:

  1. Un usuari visita un lloc web, registra un compte i desa les dades al gestor de contrasenyes.
  2. L'script de seguiment s'executa en llocs de tercers. Quan un usuari visita el lloc, els formularis d’inici de sessió s’injecten de forma invisible.
  3. El gestor de contrasenyes del navegador omplirà les dades si es troba un lloc que coincideix al gestor de contrasenyes.
  4. L'script detecta el nom d'usuari, l'ha esborrat i l'envia a servidors de tercers per fer el seguiment de l'usuari.

La següent representació gràfica visualitza el flux de treball.

password manager web tracker exploit

Els investigadors van analitzar dos guions diferents dissenyats per explotar gestors de contrasenyes per obtenir informació identificable sobre els usuaris. Els dos scripts, AdThink i OnAudience, injecten formularis d'inici de sessió invisibles a les pàgines web per recuperar dades de nom d'usuari que es retornen pel gestor de contrasenyes del navegador.

L'script calcula els hashes i envia aquests hashes a servidors de tercers. El hash s'utilitza per rastrejar els usuaris a través de llocs sense l'ús de galetes o altres formes de seguiment dels usuaris.

El seguiment dels usuaris és un dels sants gràtils de la publicitat en línia. Les empreses utilitzen les dades per crear perfils d’usuari que registrin els interessos dels usuaris basats en diversos factors, per exemple basats en els llocs visitats -Esports, Entreteniment, Política, Ciència- o des d’on un usuari es connecta a Internet.

Els scripts que han analitzat els investigadors se centren en el nom d’usuari. Res no impedeix que altres scripts puguin treure dades de contrasenyes, però alguna cosa que els scripts maliciosos ja han provat en el passat.

Els investigadors van analitzar 50.000 llocs web i no van trobar cap rastre d’abocament de contrasenyes en cap d’ells. No obstant això, van trobar els scripts de seguiment a 1.100 dels primers milions de llocs web d'Alexa.

S'utilitzen els scripts següents:

  • AdThink: https://static.audienceinsights.net/t.js
  • OnAudience: http://api.behavioralengine.com/scripts/be-init.js

AdThink

opt-out tracking

El guió Adthink conté categories molt detallades sobre trets personals, financers, físics, així com els propòsits, els interessos i la demografia.

Els investigadors descriuen la funcionalitat del guió de la següent manera:

  1. L'script llegeix l'adreça de correu electrònic i envia hashes MD5, SHA1 i SHA256 a secur.audiencesights.net.
  2. Una altra sol·licitud envia el hash MD5 de l'adreça de correu electrònic al corredor de dades Acxiom (p-eu.acxiom-online.com)

Els usuaris d’Internet poden comprovar l’estat del seguiment i optar per la recollida de dades aquesta pàgina .

OnAudience

El guió OnAudience és 'present més habitualment als llocs web polonesos'.

  1. L'script calcula el hash MD5 de les adreces de correu electrònic i també altres dades del navegador utilitzades habitualment per a la impressió digital (tipus MIME, connectors, dimensions de la pantalla, idioma, informació de fus horari, cadena d'agent d'usuari, informació de sistema operatiu i CPU).
  2. Es genera un altre hash basat en les dades.

Protecció contra el seguiment web del formulari d’inici de sessió

Els usuaris poden instal·lar bloquejadors de contingut per bloquejar les sol·licituds als dominis esmentats anteriorment. El EasyPrivacy ja ho fa, però és fàcil afegir els URL a la llista negra manualment.

Una altra defensa és la inhabilitació de l’ompliment automàtic de dades d’inici de sessió. Els usuaris de Firefox poden establir la preferència sobre: ​​config? Filter = signon.autofillForms com a fals per desactivar l’emplenament automàtic.

Paraules clausura

La indústria editorial d’anuncis està piulant la seva pròpia fossa? Els scripts de seguiment invasius són un motiu més per als usuaris per instal·lar bloquejadors d’anuncis i contingut als navegadors web.

Sí, aquest lloc també té anuncis. M'agradaria que hi hagués una altra opció per executar un lloc independent o una empresa que ofereixi solucions de publicitat natives que només funcionen al servidor que un lloc funciona, i que no requereixin connexions de tercers ni el seguiment d'ús.

Ens podeu donar suport a través Patreon , PayPal o bé, deixant un comentari / difonent la paraula a Internet.