С помощью скрытых полей авторизации аналитические и рекламные компании могут извлекать из браузеров логины пользователей. Также им доступна возможность идентификации профилей или электронной почты неавторизованных пользователей на сайтах. Об этом предупреждают исследователи из Принстонского университета.
Проблема кроется в недоработке включенных во все браузеры диспетчеров паролей, которые позволяют запоминать логины/пароли для конкретных сайтов и автоматически указывать их в поле авторизации. Как утверждают эксперты, web-трекеры могут внедрять скрытые формы авторизации на ресурсы с отслеживающими скриптами, получая таким образом доступ к именам пользователей и их паролям.
Несмотря на то, что этому трюку уже более десяти лет, еще недавно его использовали только хакеры. Однако, рекламные компании сегодня им тоже не брезгуют. В подтверждение тому исследователи выявили два таких сервиса – Adthink (audienceinsights.net) и OnAudience (behavioralengine.сom), которые используют скрытые скрипты для сбора информации о логинах пользователей на 1 100 сайтах, входящих список популярных ресурсов Alexa. Эти сервисы собирали не пароли, а только сведения о логинах и электронных адресах (в зависимости от запрашиваемых на сайтах параметров для авторизации).
Эксперты установили тот факт, что компании извлекали логины/адреса электронной почты, создавали хеши и привязывали их к существующим рекламным профилям посетителей сайтов.
“Адреса электронной почты уникальны и постоянны, таким образом хеш электронного адреса является отличным идентификатором отслеживания. Электронный адрес пользователя практически никогда не изменится – удаление cookie-файлов, использование приватного режима в браузере или смена устройства не предотвратит отслеживание. Хеш может быть использован для создания общего online-профиля по данным, собранным из различных браузеров, мобильных приложений и устройств”, – пояснили исследователи.
Польза от этого исследования каждому из нас выразилась в представленной исследователями демо-странице для проверки. На ней каждый желающий может проверить, уязвим ли диспетчер авторизации в используемом им браузере к данному виду атаки.
Источник: securitylab.ru
