Comment web trackers exploiter les gestionnaires de mots de passe

0
294

La plupart des navigateurs web viennent avec un haut-gestionnaire de mot de passe, un outil de base pour enregistrer les données de connexion à une base de données et le remplissage de formulaires et/ou de vous connecter à des sites automatiquement en utilisant les données dans la base de données.

Les utilisateurs qui veulent plus de fonctionnalités dépendent de tiers gestionnaires de mots de passe comme LastPass, KeePass ou Dashlane. Ces gestionnaires de mots de passe d’ajouter des fonctionnalités, et peut installer comme des extensions de navigateur ou de programmes d’ordinateur de bureau.

La recherche de l’université de Princeton, le Centre pour la Technologie de l’Information Politique suggèrent que nouvellement découvert web trackers exploiter les gestionnaires de mots de passe pour suivre les utilisateurs.

Les scripts de suivi exploiter une faiblesse dans les gestionnaires de mots de passe. Ce qui se passe est la suivante selon les chercheurs:

  1. Un utilisateur visite un site web, enregistre un compte, et enregistre les données dans le gestionnaire de mot de passe.
  2. Le script de tracking fonctionne sur des sites tiers. Lorsqu’un utilisateur visite le site, les formulaires de login sont injectés dans le site de manière invisible.
  3. Le navigateur, gestionnaire de mot de passe permettra de compléter les données si un site correspondant est trouvé dans le gestionnaire de mot de passe.
  4. Le script détecte le nom d’utilisateur, le hache, et l’envoie vers le serveur d’un tiers de la piste de l’utilisateur.

La suite de la représentation graphique permet de visualiser le flux de travail.

password manager web tracker exploit

Les chercheurs ont analysé les deux scripts conçus pour exploiter les gestionnaires de mots de passe pour obtenir les informations identifiables sur les utilisateurs. Les deux scripts, AdThink et OnAudience, injecter de l’invisible, les formulaires de login dans les pages web pour récupérer des données utilisateur est renvoyé par le navigateur, gestionnaire de mot de passe.

Le script calcule les hachages et envoie ces hachages à des serveurs tiers. Le hachage est utilisée pour le suivi des utilisateurs à travers les sites sans l’utilisation de cookies ou d’autres formes de suivi de l’utilisateur.

Suivi de l’utilisateur est l’un des saint graal de la publicité en ligne. Entreprises d’utiliser les données pour créer des profils d’utilisateurs qui enregistrent les intérêts de l’utilisateur basée sur un certain nombre de facteurs, par exemple en fonction des sites visités-le Sport, le Divertissement, la Politique, la Science-ou à partir duquel un utilisateur se connecte à l’Internet.

Les scripts que les chercheurs ont analysé l’accent sur le nom d’utilisateur. Rien n’est laisser les autres scripts de tirer données de mot de passe ainsi cependant, quelque chose que les scripts malveillants ont déjà essayé dans le passé.

Les chercheurs ont analysé de 50 000 sites web, et n’a trouvé aucune trace de mot de passe dumping sur l’un d’eux. Ils ont trouvé les scripts de suivi sur 1.100 du top 1 million d’Alexa des sites web cependant.

Lire aussi: Vivaldi 1.8 sortie: savoir ce qui est nouveau

Les scripts suivants sont utilisés:

  • AdThink: https://static.audienceinsights.net/t.js
  • OnAudience: http://api.behavioralengine.com/scripts/be-init.js

AdThink

opt-out tracking

Le Adthink script contient très détaillée des catégories de personnels, financiers, de caractéristiques physiques, ainsi que des intentions, des intérêts et de la démographie.

Les chercheurs décrivent la fonctionnalité du script de la manière suivante:

  1. Le script lit l’adresse e-mail et envoie MD5, SHA1 et SHA256 hachages pour secure.audiencesights.net.
  2. Une autre demande envoie le hash MD5 de l’adresse e-mail pour les données courtier Acxiom (p-eu.acxiom-online.com)

Les internautes peuvent vérifier le statut de suivi et d’exclusion de la collecte de données sur cette page.

OnAudience

Le OnAudience script est “présentent le plus souvent sur les polonais de sites web”.

  1. Le script calcule le hash MD5 d’adresses e-mail, et aussi d’autres données de navigation couramment utilisé pour la prise d’empreintes digitales (les types MIME, les plugins, les dimensions de l’écran, la langue, le fuseau horaire de l’information, de la chaîne de l’agent utilisateur, de l’OS et informations sur le PROCESSEUR).
  2. Un autre de hachage est généré sur la base des données.

La Protection contre le formulaire de connexion web de suivi

Les utilisateurs peuvent installer des bloqueurs de contenu pour bloquer les demandes pour les domaines mentionnés ci-dessus. Le EasyPrivacy liste ne fait que déjà, mais il est assez facile d’ajouter l’Url à la liste noire manuellement.

Une autre défense est la désactivation de la connexion de données de remplissage automatique. Les utilisateurs de Firefox peuvent définir la préférence about:config?filtre=signon.autofillForms à false pour désactiver autofilling.

Le Mot De La Fin

La publicité est-elle l’industrie de l’édition pelleter sa propre tombe? Invasive de suivi des scripts sont encore une autre raison pour les utilisateurs à installer des ad et des bloqueurs de contenu dans les navigateurs web.

Oui, ce site présente des annonces. Je souhaite qu’il y avait une autre option pour exécuter un site indépendant, ou une entreprise qui offrirait natif de la publicité des solutions qui ne fonctionnent que sur le serveur d’un site s’exécute sur, et ne nécessite pas de connexion à un tiers ou d’utiliser de suivi.

Vous pouvez nous soutenir par le biais de Patreon, PayPal, ou en laissant un commentaire / diffusion de la parole sur Internet.