Hvordan web-trackers udnytte adgangskode ledere

0
200

De fleste web-browsere kommer med en indbygget password manager, er et grundlæggende værktøj til at gemme login-data til en database og udfylde formularer og/eller logge på websteder automatisk ved hjælp af de oplysninger, der er i databasen.

Brugere, der ønsker mere funktionalitet stole på tredjeparts-adgangskode ledere som LastPass, KeePass eller Dashlane. Disse adgangskode ledere tilføje funktionalitet, og kan installere, som browserudvidelser eller programmer.

Forskning fra Princeton ‘ s Center for it-Politik, der tyder på, at nyopdagede web-trackers udnytte password ledere til at spore brugerne.

Tracking scripts udnytte en svaghed i password-managers. Hvad der sker, er følgende ifølge forskerne:

  1. En bruger besøger en hjemmeside, registrerer en konto, og gemmer data i password manager.
  2. Tracking script kører på tredjeparts websteder. Når en bruger besøger hjemmesiden, for login-formularer, der er indskudt i stedet usynligt.
  3. Browseren ‘ s password manager vil udfylde data, hvis en matchende site er fundet i password manager.
  4. Scriptet registrerer brugernavn, hashes det, og sender det til en tredje-parts servere til at spore brugeren.

Følgende grafisk repræsentation visualiserer workflow.

password manager web tracker exploit

Forskerne analyseret to forskellige scripts, der er designet til at udnytte password ledere for at få identificerbare oplysninger om brugerne. De to scripts, AdThink og OnAudience, injicere usynlige login-formularer på websider til at hente brugernavn data, der returneres af browseren s password manager.

Scriptet beregner hashes og sender disse hashes til tredje-parts servere. Hash er anvendes til at følge brugere på tværs af websteder uden brug af cookies eller andre former for bruger-tracking.

Bruger sporing er en af de hellige grails af online reklame. Virksomheder bruger data til at oprette brugerprofiler, som registrerer brugernes interesser, der er baseret på en række faktorer, for eksempel baseret på de websteder besøgte — Sport, Underholdning, Politik, Videnskab — eller hvor en bruger opretter forbindelse til Internettet.

De scripts, som forskerne analyseret fokus på brugernavnet. Intet er med at holde andre scripts fra at trække password data såvel dog noget, som ondsindede scripts allerede har prøvet tidligere.

Forskerne analyserede 50.000 websteder, og fandt ingen spor af password dumping på nogen af dem. De fandt tracking scripts på 1.100 af de 1 millioner Alexa hjemmesider dog.

Læs også: Kontrol Tracking med Baycloud Udsmider

Følgende scripts:

  • AdThink: https://static.audienceinsights.net/t.js
  • OnAudience: http://api.behavioralengine.com/scripts/be-init.js

AdThink

opt-out tracking

Den Adthink script der indeholder meget detaljerede kategorier for personlige, økonomiske, fysiske træk, samt hensigter, interesser og demografi.

Forskerne beskrive funktionaliteten af script på følgende måde:

  1. Scriptet læser de e-mail-adresse og sender MD5, SHA1, og SHA256 hashes til secure.audiencesights.net.
  2. En anden anmodning sender MD5 hash af e-mail-adresse til data mægler Acxiom (p-eu.acxiom-online.com)

Internet-brugere kan kontrollere status for tracking og fravælge indsamling af data på denne side.

OnAudience

Den OnAudience script er “mest almindeligt præsentere på polske hjemmesider”.

  1. Scriptet beregner MD5 hash af e-mail-adresser, og også andre browser data, der almindeligvis anvendes til optagelse af fingeraftryk (MIME-typer, plugins, tv dimensioner, sprog, tidszone oplysninger, user agent string, OS og CPU oplysninger).
  2. En anden hash er genereret på baggrund af data.

Beskyttelse mod en login-formular websporing

Brugere kan installere indhold-blokkere til blok anmoder om, at de områder, der er nævnt ovenfor. Den EasyPrivacy liste gør det allerede, men det er let nok at tilføje url ‘ er til den sorte liste manuelt.

Et andet forsvar er deaktivering af login data auto-udfyldning. Firefox-brugere kan indstille præferencer about:config?filter=signon.autofillForms til false for at deaktivere autofilling.

Afsluttende Ord

Er reklamen forlagsbranchen skovle sin egen grav? Invasive tracking scripts er endnu en grund til at brugere til at installere annonce og indhold blokkere i web-browsere.

Ja, dette site har annoncer. Jeg ville ønske, at der var en anden mulighed for at køre en uafhængig hjemmeside, eller en virksomhed, der vil tilbyde native reklame løsninger, der udelukkende kører på den server et website kører på, og ikke kræver, at tredjeparts-forbindelser eller bruge tracking.

Du kan støtte os gennem Patreon, PayPal, eller ved at efterlade en kommentar / sprede ordet på Internettet.