شرکت‌های بازاریابی با بهره‌برداری از آسیب‌پذیری موجود در مرورگرهای بزرگ به سرقت گذرواژه‌های ذخیره‌شده‌ کاربران توسط اسکریپت‌های شخص ثالث می‌پردازند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران امنیتی کشف کرده‌اند که شرکت‌های بازاریابی چگونه از یک اشکال یازده‌ساله در مدیریت داخلی گذرواژه‌ مرورگرها بهره‌برداری می‌کنند.  این آسیب‌پذیری به آنها اجازه می‌دهد که به‌طور مخفیانه آدرس ایمیل را به‌ منظور تبلیغات هدفمند در مرورگرها و دستگاه‌های مختلف به سرقت ببرند.

نگرانی اصلی این است که این‌گونه راه‌های گریز می‌توانند به عاملان مخرب اجازه دهند نام کاربری و گذرواژه‌های ذخیره‌شده‌ کاربران را در مرورگرها بدون نیاز به تعامل با آنها، سرقت کنند.

امروزه هر مرورگر جدیدی - گوگل کروم، موزیلا فایرفاکس، اپرا و اج مایکروسافت - با یک ابزار مدیریت آسان گذرواژه همراه هستند که به شما اجازه می‌دهد اطلاعات ورود به سامانه‌ خود را برای پر کردن خودکار فرم ذخیره کنید.

این ابزارهای مدیریت گذرواژه‌ مبتنی‌بر مرورگر برای راحتی کاربران طراحی شده‌اند، چرا که به‌طور خودکار فرم ورود بر روی یک صفحه‌ وب را شناسایی کرده و آن را با توجه به گواهی‌نامه‌های ذخیره شده پر می‌کنند.

با این حال، گروهی از پژوهشگران مرکز سیاست فناوری اطلاعات پرینستون کشف کرده‌اند که حداقل دو شرکت بازاریابی، AdThink و OnAudience به‌طور فعال از این ابزارهای مدیریت داخلی گذرواژه برای هدایت حدود ۱۱۱۰ بازدیدکننده به بازدید از یک‌میلیون وب‌سایت Alexa در سراسر اینترنت بهره‌برداری می‌کنند.

اسکریپت‌های شخص ثالث ردیابی شده توسط پژوهشگران بر روی این وب‌سایت‌ها، فرم‌های ورود به سامانه‌ مخفی را به پس‌زمینه‌ صفحه وب تزریق کرده و ابزار مدیریت گذرواژه‌ مبتنی‌بر مرورگر را برای تکمیل خودکار فرم با استفاده از اطلاعات ذخیره‌شده‌ کاربر فریب می‌دهند.

پژوهشگران می‌گویند: «به‌طور کلی، تکمیل خودکار فرم ورود به سامانه نیازی به تعامل با کاربر ندارد؛ تمام مرورگرهای بزرگ، بلافاصله و بدون توجه به ظاهر فرم، نام کاربری (اغلب آدرس ایمیل) را به‌صورت خودکار تکمیل خواهندکرد.»

«مرورگر کروم تا زمانی که کاربر بر روی صفحه کلیک نکرده یا آن را لمس نکند، فیلد گذرواژه را به‌صورت خودکار تکمیل نمی‌کند. سایر مرورگرهایی که مورد آزمایش قرار گرفتند، برای تکمیل خودکار فیلدهای گذرواژه نیازی به تعامل با کاربر ندارند.»

از آنجایی که این اسکریپت‌ها عمدتا برای ردیابی کاربر طراحی شده‌اند، نام کاربری را شناسایی کرده و پس از هش کردن با الگوریتم‌های MD۵، SHA۱ و SHA۲۵۶ آن را به کارگزارهای شخص ثالث ارسال می‌کنند که پس از آن می‌تواند به‌عنوان یک شناسه‌ مداوم برای یک کاربر خاص به‌منظور پیگیری او از صفحه به صفحه مورد استفاده قرار بگیرد.

پژوهشگران گفتند: «آدرس‌های ایمیل منحصربه‌فرد و ماندگار هستند، بنابراین هش کردن یک آدرس ایمیل، یک شناسه‌ عالی برای ردیابی است. آدرس ایمیل یک کاربر حتی با پاک کردن کوکی‌ها، استفاده از حالت خصوصی مرور و یا تعویض دستگاه‌ها به‌منظور جلوگیری از ردیابی، تقریبا هرگز تغییر نخواهدکرد.»

اگرچه پژوهشگران مشاهده کرده‌اند که برخی از شرکت‌های بازاریابی با استفاده از این اسکریپت‌های ردیابی، نام کاربری شما را به‌دست می‌آورند، هیچ‌گونه تدابیر فنی برای منع این اسکریپت‌ها از جمع‌آوری گذرواژه‌های شما با این روش وجود ندارد.

با این حال، بیشتر ابزارهای مدیریت گذرواژه‌ شخص ثالث، مانند LastPass و ۱Password، مستعد این حمله نیستند، زیرا آنها از تکمیل خودکار فرم‌های غیرقابل مشاهده اجتناب کرده و به تعامل با کاربر نیز نیاز دارند.

پژوهشگران همچنین یک صفحه‌ آزمایشی ایجاد کرده‌اند که در آن می‌توانید بررسی کنید که آیا ابزار مدیریت گذرواژه‌ مرورگر شما نیز نام کاربری و گذرواژه‌ شما را برای فرم‌های غیرقابل مشاهده فاش می‌کند یا خیر.

ساده‌ترین راه برای جلوگیری از چنین حملاتی این است که عملکرد تکمیل خودکار را در مرورگر خود غیرفعال کنید.