Маркетингови компании експлоатират дупка в браузърите, за да крадат лична информация
Изследователи по осведомителна сигурност към Принстънския университет сигнализират за това, че маркетингови компании се възползват от дълготраен проблем във вградените логин мениджъри в браузърите, с цел да крадат имейл адреси от страниците на най-малко 1000 уеб страницата и да таргетират посетителите на тези уеб сайтове с реклама и нежелана поща. Същият проблем може да бъде експлоатиран и от нарушители за кражбата освен на имейли, само че и на пароли, предизвестява The Hacker News.
Всеки браузър през днешния ден идва с вграден управител за регистриране в уеб страницата, който бива представян като прозорец, който ви подканя да запазите името и паролата си за даден уебсайт за автоматизирано регистриране при повторното му посещаване. Поне две компании (AdThink и OnAudience)за онлайн маркетинг обаче се възползват от известна уязвимост в метода на действие на тези мениджъри.
Специалистите разкрили, че външни скриптове към тези уеб сайтове, идващи от маркетинговите компании „ инжектират “ невидими формуляри за регистриране на фона на страниците, подлъгвайки браузърите да попълнят автоматизирано въпросните невидими формуляри с авансово непокътнати данни. „ Автоматичното попълване на данните по принцип не изисква деяние от потребителя. Всички известни браузъри ще попълнят автоматизирано потребителското име (често имейл адрес) незабавно, без значение забележим ли е или не формуляра за това. Chrome не попълня автоматизирано паролата, до момента в който потребителят не кликне някъде по страницата. Другите браузъри не изискват сходно деяние “, пишат създателите на проучването.
Скриптовете, ориентирани към следене на потребителите, засичат потребителското име и го изпращат към далечен сървър след обработката му с логаритъм (MD5, SHA1 или SHA256), което улеснява каталогизирането му и последващото му следене в Мрежата.
Отговорът на тези офанзиви е елементарен. Забранете автоматизираното попълване. Използването на онлайн управител на пароли също е избавление, защото въпросните стратегии подценяват формулярите, подканящи потребителя за регистриране. Може да ревизирате триумфа на офанзивата на специфична демо страница, създадена от създателите на проучването. За Chrome е нужно да кликнете някъде по страницата след попълване на данните.
Всеки браузър през днешния ден идва с вграден управител за регистриране в уеб страницата, който бива представян като прозорец, който ви подканя да запазите името и паролата си за даден уебсайт за автоматизирано регистриране при повторното му посещаване. Поне две компании (AdThink и OnAudience)за онлайн маркетинг обаче се възползват от известна уязвимост в метода на действие на тези мениджъри.
Специалистите разкрили, че външни скриптове към тези уеб сайтове, идващи от маркетинговите компании „ инжектират “ невидими формуляри за регистриране на фона на страниците, подлъгвайки браузърите да попълнят автоматизирано въпросните невидими формуляри с авансово непокътнати данни. „ Автоматичното попълване на данните по принцип не изисква деяние от потребителя. Всички известни браузъри ще попълнят автоматизирано потребителското име (често имейл адрес) незабавно, без значение забележим ли е или не формуляра за това. Chrome не попълня автоматизирано паролата, до момента в който потребителят не кликне някъде по страницата. Другите браузъри не изискват сходно деяние “, пишат създателите на проучването.
Скриптовете, ориентирани към следене на потребителите, засичат потребителското име и го изпращат към далечен сървър след обработката му с логаритъм (MD5, SHA1 или SHA256), което улеснява каталогизирането му и последващото му следене в Мрежата.
Отговорът на тези офанзиви е елементарен. Забранете автоматизираното попълване. Използването на онлайн управител на пароли също е избавление, защото въпросните стратегии подценяват формулярите, подканящи потребителя за регистриране. Може да ревизирате триумфа на офанзивата на специфична демо страница, създадена от създателите на проучването. За Chrome е нужно да кликнете някъде по страницата след попълване на данните.
Източник: kaldata.com
КОМЕНТАРИ