Wie web-Tracker nutzen Passwort-Manager

0
142

Die meisten web-Browser verfügen über einen integrierten Passwort-manager, ein basic-tool zum speichern von login-Daten an eine Datenbank und die Formulare ausfüllen und/oder sich anmelden, um Seiten automatisch anhand der Informationen in der Datenbank.

Benutzer, die wollen mehr Funktionalität verlassen sich auf Drittanbieter-Passwort-Manager wie LastPass, KeePass oder Dashlane. Diese Passwort-Manager-add-Funktionalität, und kann zu installieren, wie browser-Erweiterungen oder desktop-Programme.

Forschung an der Princeton Center for Information Technology Policy vorschlagen, dass die neu entdeckten web-Tracker nutzen Passwort-Manager Nutzer zu verfolgen.

Der tracking-Scripte nutzen eine Schwäche im Passwort-Manager. Was passiert, ist die folgende nach Angaben der Forscher:

  1. Ein Benutzer besucht eine website, ein Konto registriert und speichert die Daten in der Kennwort-manager.
  2. Das tracking-Skript läuft auf Drittanbieter-Websites. Wenn ein Benutzer die Website besucht, die login-Formulare sind injiziert, die in der Website unsichtbar.
  3. Mit der browser-Passwort-manager füllen Sie die Daten, wenn eine passende Seite gefunden wird, in das der Passwort-manager.
  4. Das Skript erkennt den Benutzernamen, hashes, und sendet Sie an Drittanbieter-Server, den Benutzer zu verfolgen.

Die folgende grafische Darstellung visualisiert den workflow.

password manager web tracker exploit

Die Forscher analysierten zwei verschiedene Skripte entwickelt, um nutzen Passwort-Manager zu erhalten, identifizierbare Informationen über Nutzer. Die beiden Skripte, AdThink und OnAudience, injizieren unsichtbare login-Formulare in web-Seiten zum abrufen von Benutzernamen zurückgegebenen Daten durch die browser-Passwort-manager.

Das Skript berechnet die hashes und sendet diese hashes zu third-party-Servern. Der hash wird verwendet, um nachzuverfolgen, die Benutzer auf Websites ohne die Verwendung von cookies oder anderen Formen des user-tracking.

User-tracking ist eine der Heilige Gral der online-Werbung. Unternehmen nutzen die Daten, um Nutzerprofile zu erstellen, Datensatz user-Interessen basierend auf einer Anzahl von Faktoren, beispielsweise auf der Grundlage der besuchten Seiten — Sport, Unterhaltung, Politik, Wissenschaft-oder von wo aus ein Benutzer mit dem Internet verbindet.

Die Skripte, die die Forscher analysiert, Fokus auf den Benutzernamen. Nichts, um andere Skripte vom ziehen der Passwort-Daten sowie jedoch etwas, dass bösartige Skripte habe bereits versucht in der Vergangenheit.

Die Forscher analysierten die 50.000 websites und fand keine Spuren der Passwort-dumping auf alle von Ihnen. Sie finden die tracking-Skripts auf 1.100 der Alexa top 1 million Webseiten jedoch.

Lesen Sie auch: Vivaldi 1.8 veröffentlicht: finden Sie heraus, was neu ist

Die folgenden Skripte benutzt:

  • AdThink: https://static.audienceinsights.net/t.js
  • OnAudience: http://api.behavioralengine.com/scripts/be-init.js

AdThink

opt-out tracking

Der Adthink Skript enthält sehr detaillierte Kategorien für die persönliche, finanzielle, körperliche Merkmale, wie auch die Absichten, Interessen und Demographie.

Die Forscher beschreiben die Funktionalität des Skripts in der folgenden Weise:

  1. Das Skript liest die E-Mail-Adresse und sendet MD5 -, SHA1-und SHA256-hashes secure.audiencesights.net.
  2. Eine weitere Anforderung sendet der MD5-hash der E-Mail-Adresse, um die Daten broker Acxiom (p-eu.acxiom-online.com)

Internet-Nutzer können überprüfen Sie den status der tracking-und opt-out von der Erfassung von Daten auf dieser Seite.

OnAudience

Die OnAudience Skript ist “am häufigsten vertreten, die auf polnischen websites”.

  1. Das Skript berechnet den MD5-hash der E-Mail-Adressen, und auch andere browser-Daten werden Häufig verwendet, für das fingerprinting (MIME-Typen, Plug-ins, screen-Dimensionen, Sprache, Zeitzone, user-agent-string, OS-und CPU-Informationen).
  2. Ein anderer hash generiert wird, basierend auf den Daten.

Schutz vor login-Formular web-tracking

Nutzer können die Installation der Inhalte-Blocker zum blockieren von Anfragen auf die domains, die oben erwähnt werden. Die EasyPrivacy-Liste macht das schon, aber es ist leicht genug, um fügen Sie die URLs auf der blacklist manuell.

Eine weitere Verteidigung ist die Sperrung von login-Daten automatisch ausfüllen. Firefox-Nutzer können die Einstellung about:config?filter=signon.autofillForms auf false zu deaktivieren autofilling.

Schlusswort

Ist die Werbung publishing-Industrie schaufelt sein eigenes Grab? Invasive tracking-Skripts sind ein weiterer Grund für die Nutzer zu installieren, ad-und content-Blocker im web-Browser.

Ja, diese Seite hat Werbung als gut. Ich wünschte, es war eine andere option, um eine unabhängige site, oder ein Unternehmen Gründen, dass native Werbung-Lösungen, die laufen nur auf dem server eine site läuft auf, und erfordert keine Drittanbieter-verbindungen oder tracking.

Sie können uns unterstützen durch Patreon, PayPal, oder durch hinterlassen eines Kommentars / verbreiten das Wort über das Internet.