De meeste web browsers hebben een ingebouwde wachtwoord manager, een basic tool om inloggegevens op te slaan in een database en het invullen van formulieren en/of meld je aan om websites automatisch met behulp van de informatie in de database.
Gebruikers die meer willen functionaliteit vertrouwen op derden wachtwoord managers zoals LastPass, KeePass of Dashlane. Dit wachtwoord managers functionaliteit toe te voegen, en kunnen installeren van de browser-extensies of desktop programma ‘ s.
Uit onderzoek van Princeton Centrum voor Informatie Technologie Beleid suggereren dat de nieuw ontdekte web trackers exploiteren wachtwoord managers om gebruikers te volgen.
De tracking scripts misbruik maken van een zwakte in het wachtwoord managers. Wat er gebeurt is het volgende volgens de onderzoekers:
- Een gebruiker een website bezoekt, registreert een account, en slaat de gegevens op in de password manager.
- Het tracking script moet worden uitgevoerd op sites van derden. Wanneer een gebruiker de site bezoekt, login formulieren worden geïnjecteerd in de site onzichtbaar.
- De browser het wachtwoord van de manager vult de gegevens als een bijpassende site wordt gevonden in de password manager.
- Het script detecteert de gebruikersnaam, hashes, en stuurt het naar de servers van derden voor het bijhouden van de gebruiker.
De volgende grafische weergave visualiseert de workflow.
De onderzoekers geanalyseerd twee verschillende scripts ontworpen om te exploiteren wachtwoord managers te krijgen identificeerbare informatie over de gebruikers. De twee scripts, AdThink en OnAudience, injecteren onzichtbare login formulieren in web pagina ‘ s voor het ophalen van de gebruikersnaam de gegevens die worden geretourneerd door de browser het wachtwoord van de manager.
Het script berekent hashes en stuurt deze hashes naar servers van derden. De hash gebruikt om gebruikers te volgen over websites maken, zonder het gebruik van cookies of andere vormen van gebruiker-tracking.
Gebruiker-tracking is een van de heilige gralen van online reclame. Bedrijven maken gebruik van de gegevens voor het aanmaken van gebruikersprofielen dat record belangen van de gebruikers gebaseerd op een aantal factoren, bijvoorbeeld op basis van de sites die bezocht — Sport, Entertainment, Politiek, de Wetenschap, of de plek waar een gebruiker verbinding maakt met het Internet.
De scripts die door de onderzoekers geanalyseerd focus op de gebruikersnaam. Niets is houden van andere scripts uit te trekken wachtwoord gegevens echter iets dat de kwaadaardige scripts hebben al geprobeerd in het verleden.
De onderzoekers geanalyseerd en 50.000 websites, en vond geen sporen van een wachtwoord, dumpen op een van hen. Ze vond het bijhouden van scripts op 1,100 van de top 1 miljoen Alexa websites echter.
Lees ook: het Bijhouden Baycloud Bouncer
De volgende scripts worden gebruikt:
- AdThink: https://static.audienceinsights.net/t.js
- OnAudience: http://api.behavioralengine.com/scripts/be-init.js
AdThink
De Adthink script bevat zeer gedetailleerde categorieën voor persoonlijke, financiële, fysieke eigenschappen, evenals bedoelingen, belangen en demografie.
De onderzoekers beschrijven de functionaliteit van het script op de volgende manier:
- Het script leest het e-mailadres en stuurt MD5, SHA1 en SHA256 hash te secure.audiencesights.net.
- Een ander verzoek stuurt de MD5-hash van het e-mailadres van de data broker Acxiom (p-eu.acxiom-online.com)
Internet-gebruikers kunnen de status van tracking en de opt-out van het verzamelen van gegevens op deze pagina.
OnAudience
De OnAudience script is “het meest aanwezig op de poolse websites”.
- Het script berekent de MD5-hash van e-mail adressen, en ook andere browser gegevens vaak gebruikt voor het afnemen van vingerafdrukken (MIME-types, plugins, scherm afmetingen, taal, tijdzone informatie, user-agent string, OS en CPU-informatie).
- Een andere hash gegenereerd op basis van de gegevens.
Bescherming tegen login formulier web-tracking
Gebruikers kunnen installeren inhoud blokkers blokkeren verzoeken om de hierboven aangehaalde domeinen. De EasyPrivacy lijst doet dat al, maar het is makkelijk genoeg om het toevoegen van de Url ‘ s naar de zwarte lijst handmatig.
Een andere verdediging is het uitschakelen van de login gegevens automatisch op te vullen. Firefox-gebruikers kunnen de voorkeur about:config?filter=signon.autofillForms om vals te schakelen automatisch vullende.
Slotwoord
Is de advertentie voor de publishing-industrie die zijn eigen graf? Invasieve tracking scripts zijn nog een andere reden voor gebruikers om de installatie van ad en inhoud blokkers in web browsers.
Ja, deze site heeft in advertenties. Ik wou dat er een andere optie voor het uitvoeren van een onafhankelijke site, of een bedrijf dat de aanbieding native advertentie-oplossingen die alleen op de server van een site, en niet van derden vereist zijn verbindingen of gebruik tracking.
U kunt ons ondersteunen door Patreon, PayPal, of door het verlaten van een commentaar / het verspreiden van het woord op het Internet.