普林斯顿信息中心( CTTP )发现浏览器“自动填充”漏洞最新玩法

普林斯顿信息中心( CTTP )发现浏览器“自动填充”漏洞最新玩法

据外媒 12 月 27 日报道,普林斯顿信息技术政策中心( CTTP )发现了利用浏览器“自动填充”漏洞窃取用户信息的最新玩法。目前,所有浏览器的登录管理器都存在着一种设计缺陷 ——登录管理器允许浏览器记住用户在每个特定网站上的用户名和密码,并在用户再次访问该网站时自动将其插入到登录表单。正是因为登录管理器的这种工作方式,网络追踪者可以在加载追踪脚本的网站上嵌入隐藏的登录表单,以便窃取用户信息。
普林斯顿信息中心( CTTP )发现浏览器“自动填充”漏洞最新玩法

普林斯顿隐私专家警告说,广告和分析公司利用登录管理器的漏洞设置隐藏的登录字段秘密提取网站用户名,并绑定未经身份验证的用户的个人资料或电子邮件访问该网站。 安全隐私专家称这种漏洞已存在十多年,仅在 XSS(跨站点脚本)攻击期间搜集用户信息。不过目前恶意人士已设计了新的攻击方式。
据悉,普林斯顿研究人员于近期发现了两种利用隐藏登录表单收集登录信息的网络跟踪服务:Adthink (audienceinsights.net) 、 OnAudience (behavioralengine.com)。这两种跟踪服务利用其脚本搜集了在 Alexa Top 100 万网站列表中发现的 1110 个网站的登录信息。目前登录信息只包含了用户名或电子邮件地址 ,并没有涉及到重要的密码信息。
鉴于这种情况,广告公司和分析公司通过窃取的用户名/电子邮件创建一个散列,并将该散列与网站访问者的现有广告配置文件绑定。研究人员介绍,电子邮件地址的散列是一个良好的跟踪标识符。因为电子邮件地址是唯一的、持久的,并且用户的电子邮件地址几乎不会改变,清除 cookie、使用隐私浏览模式、或者切换设备都不会阻止跟踪。网络追踪者可以通过电子邮件地址的散列来连接分散在不同浏览器、设备和移动应用程序上的在线配置文件。此外,该散列还可以作为 cookie 清除之前和之后浏览历史记录配置文件之间的链接。
知情人士透露,除了 Brave 浏览器之外,其他主流浏览器似乎都容易受到这种类型的攻击,例如基于 Chromium 的浏览器在用户点击页面时披露用户密码。研究人员目前已提出解决方法:厂商将浏览器设置为仅在用户与实际需要登录的字段交互时再自动填充即可。
根据普林斯顿的说法,秘密收集用户数据不仅限于侵犯了个人用户的隐私,实际上可能也违反了欧盟即将实行的 GDPR 法规,即使有些网站所有者并不清楚其行为属于跟踪范畴。

本文业界资讯相关术语:网络安全论文 网络安全密钥 网络安全工程师 网络安全技术与应用 网络安全概念股 网络安全知识 网络安全宣传周 网络安全知识竞赛 网络安全事件

tags: 浏览器,登录,用户,普林斯顿,电子邮件,网站,CTTP,散列,管理器,漏洞,填充,用户名,玩法,自动,地址
分页:12
转载请注明
本文标题:普林斯顿信息中心( CTTP )发现浏览器“自动填充”漏洞最新玩法
本站链接:http://www.codesec.net/view/570388.html
分享请点击:


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 业界资讯 | 评论(0) | 阅读(108)