Web跟蹤器如何利用密碼管理器

2022-06-29 14:34:50 編輯：閻月士來(lái)源：

導(dǎo)讀大多數(shù)Web瀏覽器都帶有內(nèi)置的密碼管理器，這是一種用于將登錄數(shù)據(jù)保存到數(shù)據(jù)庫(kù)中并使用數(shù)據(jù)庫(kù)中的信息自動(dòng)填寫(xiě)表單和或登錄站點(diǎn)的基本

大多數(shù)Web瀏覽器都帶有內(nèi)置的密碼管理器，這是一種用于將登錄數(shù)據(jù)保存到數(shù)據(jù)庫(kù)中并使用數(shù)據(jù)庫(kù)中的信息自動(dòng)填寫(xiě)表單和/或登錄站點(diǎn)的基本工具。

想要更多功能的用戶依賴于第三方密碼管理器，例如LastPass，KeePass或Dashlane。這些密碼管理器添加了功能，并且可以作為瀏覽器擴(kuò)展或桌面程序安裝。

研究由普林斯頓大學(xué)的信息技術(shù)中心政策建議，新發(fā)現(xiàn)的網(wǎng)絡(luò)跟蹤器利用密碼管理器來(lái)跟蹤用戶。

跟蹤腳本利用了密碼管理器的弱點(diǎn)。研究人員表示，將發(fā)生以下情況：

用戶訪問(wèn)網(wǎng)站，注冊(cè)帳戶，然后將數(shù)據(jù)保存在密碼管理器中。

跟蹤腳本在第三方站點(diǎn)上運(yùn)行。當(dāng)用戶訪問(wèn)該站點(diǎn)時(shí)，登錄表單將被不可見(jiàn)地注入該站點(diǎn)。

如果在密碼管理器中找到匹配的站點(diǎn)，則瀏覽器的密碼管理器將填寫(xiě)數(shù)據(jù)。

該腳本檢測(cè)用戶名，對(duì)其進(jìn)行哈希處理，然后將其發(fā)送給第三方服務(wù)器以跟蹤用戶。

下圖顯示了工作流程。

密碼管理器Web跟蹤器利用

研究人員分析了兩種不同的腳本，這些腳本旨在利用密碼管理器來(lái)獲取有關(guān)用戶的可識(shí)別信息。這兩個(gè)腳本AdThink和OnAudience在網(wǎng)頁(yè)中注入了不可見(jiàn)的登錄表單，以檢索由瀏覽器的密碼管理器返回的用戶名數(shù)據(jù)。

該腳本計(jì)算哈希并將這些哈希發(fā)送到第三方服務(wù)器。哈希用于在不使用Cookie或其他形式的用戶跟蹤的情況下跨站點(diǎn)跟蹤用戶。

用戶跟蹤是在線廣告的圣地之一。公司使用這些數(shù)據(jù)來(lái)創(chuàng)建用戶個(gè)人資料，這些個(gè)人資料會(huì)基于多種因素來(lái)記錄用戶的興趣，例如，基于訪問(wèn)的網(wǎng)站(體育，，政治，科學(xué))或用戶連接互聯(lián)網(wǎng)的位置。

研究人員分析的腳本著重于用戶名。但是，其他腳本也無(wú)法阻止提取密碼數(shù)據(jù)，而惡意腳本過(guò)去已經(jīng)嘗試過(guò)這種操作。

研究人員對(duì)50,000個(gè)網(wǎng)站進(jìn)行了分析，結(jié)果發(fā)現(xiàn)在任何網(wǎng)站上都沒(méi)有密碼泄露的痕跡。但是，他們確實(shí)在前100萬(wàn)個(gè)Alexa網(wǎng)站中的1100個(gè)中找到了跟蹤腳本。

使用以下腳本：

AdThink：https：//static.audienceinsights.net/t.js

OnAudience：http：//api.behavioralengine.com/scripts/be-init.js

AdThink

退出跟蹤

Adthink腳本包含有關(guān)個(gè)人，財(cái)務(wù)，身體特征以及意圖，興趣和人口統(tǒng)計(jì)的非常詳細(xì)的類別。

研究人員通過(guò)以下方式描述了腳本的功能：

該腳本讀取電子郵件地址，并將MD5，SHA1和SHA256哈希發(fā)送到secure.audiencesights.net。

另一個(gè)請(qǐng)求將電子郵件地址的MD5哈希發(fā)送到數(shù)據(jù)代理Acxiom(p-eu.acxiom-online.com)

互聯(lián)網(wǎng)用戶可以檢查跟蹤狀態(tài)，并選擇退出此頁(yè)面上的數(shù)據(jù)收集。