شرکتهای بازاریابی با بهرهبرداری از آسیبپذیری موجود در مرورگرهای بزرگ به سرقت گذرواژههای ذخیرهشده کاربران توسط اسکریپتهای شخص ثالث میپردازند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران امنیتی کشف کردهاند که شرکتهای بازاریابی چگونه از یک اشکال یازدهساله در مدیریت داخلی گذرواژه مرورگرها بهرهبرداری میکنند. این آسیبپذیری به آنها اجازه میدهد که بهطور مخفیانه آدرس ایمیل را به منظور تبلیغات هدفمند در مرورگرها و دستگاههای مختلف به سرقت ببرند.
نگرانی اصلی این است که اینگونه راههای گریز میتوانند به عاملان مخرب اجازه دهند نام کاربری و گذرواژههای ذخیرهشده کاربران را در مرورگرها بدون نیاز به تعامل با آنها، سرقت کنند.
امروزه هر مرورگر جدیدی - گوگل کروم، موزیلا فایرفاکس، اپرا و اج مایکروسافت - با یک ابزار مدیریت آسان گذرواژه همراه هستند که به شما اجازه میدهد اطلاعات ورود به سامانه خود را برای پر کردن خودکار فرم ذخیره کنید.
این ابزارهای مدیریت گذرواژه مبتنیبر مرورگر برای راحتی کاربران طراحی شدهاند، چرا که بهطور خودکار فرم ورود بر روی یک صفحه وب را شناسایی کرده و آن را با توجه به گواهینامههای ذخیره شده پر میکنند.
با این حال، گروهی از پژوهشگران مرکز سیاست فناوری اطلاعات پرینستون کشف کردهاند که حداقل دو شرکت بازاریابی، AdThink و OnAudience بهطور فعال از این ابزارهای مدیریت داخلی گذرواژه برای هدایت حدود ۱۱۱۰ بازدیدکننده به بازدید از یکمیلیون وبسایت Alexa در سراسر اینترنت بهرهبرداری میکنند.
اسکریپتهای شخص ثالث ردیابی شده توسط پژوهشگران بر روی این وبسایتها، فرمهای ورود به سامانه مخفی را به پسزمینه صفحه وب تزریق کرده و ابزار مدیریت گذرواژه مبتنیبر مرورگر را برای تکمیل خودکار فرم با استفاده از اطلاعات ذخیرهشده کاربر فریب میدهند.
پژوهشگران میگویند: «بهطور کلی، تکمیل خودکار فرم ورود به سامانه نیازی به تعامل با کاربر ندارد؛ تمام مرورگرهای بزرگ، بلافاصله و بدون توجه به ظاهر فرم، نام کاربری (اغلب آدرس ایمیل) را بهصورت خودکار تکمیل خواهندکرد.»
«مرورگر کروم تا زمانی که کاربر بر روی صفحه کلیک نکرده یا آن را لمس نکند، فیلد گذرواژه را بهصورت خودکار تکمیل نمیکند. سایر مرورگرهایی که مورد آزمایش قرار گرفتند، برای تکمیل خودکار فیلدهای گذرواژه نیازی به تعامل با کاربر ندارند.»
از آنجایی که این اسکریپتها عمدتا برای ردیابی کاربر طراحی شدهاند، نام کاربری را شناسایی کرده و پس از هش کردن با الگوریتمهای MD۵، SHA۱ و SHA۲۵۶ آن را به کارگزارهای شخص ثالث ارسال میکنند که پس از آن میتواند بهعنوان یک شناسه مداوم برای یک کاربر خاص بهمنظور پیگیری او از صفحه به صفحه مورد استفاده قرار بگیرد.
پژوهشگران گفتند: «آدرسهای ایمیل منحصربهفرد و ماندگار هستند، بنابراین هش کردن یک آدرس ایمیل، یک شناسه عالی برای ردیابی است. آدرس ایمیل یک کاربر حتی با پاک کردن کوکیها، استفاده از حالت خصوصی مرور و یا تعویض دستگاهها بهمنظور جلوگیری از ردیابی، تقریبا هرگز تغییر نخواهدکرد.»
اگرچه پژوهشگران مشاهده کردهاند که برخی از شرکتهای بازاریابی با استفاده از این اسکریپتهای ردیابی، نام کاربری شما را بهدست میآورند، هیچگونه تدابیر فنی برای منع این اسکریپتها از جمعآوری گذرواژههای شما با این روش وجود ندارد.
با این حال، بیشتر ابزارهای مدیریت گذرواژه شخص ثالث، مانند LastPass و ۱Password، مستعد این حمله نیستند، زیرا آنها از تکمیل خودکار فرمهای غیرقابل مشاهده اجتناب کرده و به تعامل با کاربر نیز نیاز دارند.
پژوهشگران همچنین یک صفحه آزمایشی ایجاد کردهاند که در آن میتوانید بررسی کنید که آیا ابزار مدیریت گذرواژه مرورگر شما نیز نام کاربری و گذرواژه شما را برای فرمهای غیرقابل مشاهده فاش میکند یا خیر.
سادهترین راه برای جلوگیری از چنین حملاتی این است که عملکرد تکمیل خودکار را در مرورگر خود غیرفعال کنید.