Password manager usati per tracciare gli utenti

Una vulnerabilità presenti nei password manager dei principali browser permette di rubare l'indirizzo email usato per accedere ai servizi online.
Password manager usati per tracciare gli utenti
Una vulnerabilità presenti nei password manager dei principali browser permette di rubare l'indirizzo email usato per accedere ai servizi online.

I password manager integrati nei moderni browser permettono di ricordare le credenziali di accesso e di inserirle in maniera automatica. I ricercatori del Center for Information Technology Policy di Princeton hanno tuttavia scoperto una grave vulnerabilità che può essere sfruttata per tracciare l’utente online e creare profili personalizzati, in base ai quali gli inserzionisti possono visualizzare pubblicità mirate.

Il problema non è nuovo, ma risale ad oltre 10 anni fa. Finora però veniva usato solo dagli hacker per rubare le password attraverso attacchi XSS (cross-site scripting). Fortunatamente i ricercatori non hanno rilevato furti di password negli oltre 50.000 siti analizzati, ma hanno trovato script nascosti nelle pagine che, abusando della stessa tecnica, consentono di recuperare dai password manager gli indirizzi email, utilizzati come “identificatori di tracciamento”. I due principali servizi che sfruttano la vulnerabilità sono Adthink (audienceinsights.net) e OnAudience (behavioralengine.com).

Quando i dati vengono inseriti per la prima volta nel form di login, il browser chiede all’utente se desidera salvarli. Se il sito viene visitato in seguito, le credenziali di accesso sono inserite automaticamente, grazie alla funzionalità “Autofill”. Quando l’utente visita un’altra pagina del sito, dove non è necessario il login, lo script di tracking inserisce un form nascosto che viene riempito dal password manager. Lo script registra quindi l’indirizzo email, genera un hash MD5, SHA1 o SHA256 e lo invia ad un server remoto. Questo hash è unico e permette di tracciare la navigazione online. Dato che l’indirizzo email non viene cancellato insieme alla cronologia e ai cookie (quindi l’hash è sempre valido), gli inserzionisti possono “seguire” l’utente e mostrare banner pubblicitari personalizzati.

La vulnerabilità è presente in tutti i principali browser. Chrome inserisce la password solo se l’utente clicca sulla pagina, ma ciò non protegge ugualmente l’utente. I ricercatori hanno creato una pagina in cui inserire finte credenziali di accesso per verificare l’esistenza del bug. Finché non verrà rilasciata una patch è consigliabile installare un ad-blocker che blocca i due domini suindicati. Il filtro EasyPrivacy include entrambi.

Ti consigliamo anche

Link copiato negli appunti