研究:浏览器的密码管理员可被脚本程式开采,不经意洩露你的隐私
普林斯顿大学资讯科技政策中心旗下的 Freedom to Tinker周三警告 ,第三方脚本程式可开采各大浏览器中所内建的密码管理员,于不知不觉中取得使用者的机密资料。
这些脚本程式的主要目的是追蹤使用者于网站上的浏览行为。当使用者登入网站并要求浏览器储存登入资讯之后,脚本程式即藏匿在同一网站上的其它网页伺机而动,一旦使用者造访该网页,它就会藉由隐藏的登入格式来汲取使用者的电子邮件帐号,以建立追蹤的身分识别,再将资料传送到第三方的服务器上。
在上述程序中,浏览器的密码管理员会受到隐藏登入格式的召唤,并自动填入资讯。
研究人员找到了两支用来窃取使用者电子邮件帐号的脚本程式—Adthink与OnAudience,并于Alexa前100万大网站中的1110个网站发现它们的蹤迹。
其中,Adthink是由专门分析匿名资料的audienceinsights.net所开发,除了电子邮件之外,它还搜集了使用者的生日、年纪、性别、特征、兴趣及所在区域等资料;至于OnAudience则是来自提供大数据工具的同名公司,除了电子邮件资料外也搜集浏览器、作业系统与CPU资讯。这两家业者搜集资讯的目的皆为分析与营销。
其实浏览器已内建同源政策来限制脚本程式只能存取同一网站的文件以避免跨站攻击,但上述的攻击模式却是第三方业者将脚本程式嵌在同一网站上,且大多数的网站并没有足够的时间或技术来评估这些程式的安全性。
研究人员认为,自动填入功能不只是个安全漏洞,还带来了隐私威胁,建议网站应该以子域名来隔离登入页面,鼓励使用者安装广告封锁或追蹤保护机制,亦呼吁浏览器业者应允许使用者关闭自动填入功能。