Gadgetshowto
Browser - wir alle verwenden sie, und viele Leute (wie Ihre wirklich) verwenden sie fast ausschließlich.
Eines der besten Dinge an modernen Browsern sind natürlich die eingebauten Passwort-Manager. Da jede Site ihre eigenen Regeln für die Kennworterstellung hat, können Benutzer, die regelmäßig Anmeldungen auf mehreren Websites erstellen, die Verwaltung dieser verschiedenen Kennwörter als Albtraum empfinden. Aus diesem Grund sind browserbasierte Passwortmanager die am häufigsten verwendete Form zum Speichern von Passwörtern. Wer kann sich überhaupt an all seine Logins erinnern? Und selbst wenn Sie können, warum sollten Sie Zeit damit verschwenden, alles auszutippen, wenn Ihr Webbrowser es automatisch für Sie ausfüllen kann?.
Und so kommen wir zum Problem. Wir kennen seit einiger Zeit zerstörungsfreie Cookies und Tracker, die Benutzern beim Surfen folgen. Dies hat hauptsächlich mit Werbeagenturen und Marketingunternehmen zu tun, die versuchen, eine riesige Datenbank von Nutzern aufzubauen, Daten über ihre Interessen, demografischen Daten und mehr zu erfassen, damit diese diese entweder an andere Unternehmen weiterverkaufen oder für gezielte Anzeigen verwenden können.
Angreifer mit böswilligeren Absichten können jedoch dieselben Tracker verwenden, um Ihre Passwörter in den Passwortmanagern zu hacken.
Laut den Forschern der Princeton University, Gunes Acar, Steven Englehardt und Arvind Narayanan, enthalten eine ganze Reihe von Websites Tracking-Skripte, die die Anmelde-Manager von Webbrowsern missbrauchen, um die E-Mails und Passwörter eines Benutzers zu extrahieren.
Während die Tatsache, dass Anmelde-Manager für Webbrowser mithilfe von XSS von bösartigem Code ausgenutzt werden können, um Benutzeranmeldeinformationen zu stehlen, seit langem bekannt ist, behaupten die Forscher, dass dies das erste Mal ist, dass jemand herausgefunden hat, dass die Anmeldemanager verwendet werden Verfolgen von Benutzern.
So funktioniert der Angriff, so einfach wie möglich:
- Ein Benutzer meldet sich auf einer Website an und speichert seine Anmeldeinformationen im integrierten Anmeldemanager des Browsers.
- Der Benutzer navigiert zu einer anderen Webseite auf derselben Site. Dieses Mal ist jedoch das Tracking-Skript vorhanden, um Informationen zu stehlen.
- Das Skript bettet ein falsches Anmeldefeld in die Seite ein. Viele Browser füllen Anmeldefelder automatisch ohne Benutzerinteraktion aus, und einige, wie z. B. Chrome, füllen sie automatisch aus, sobald der Benutzer die Seite lädt. In jedem Fall wird das Anmeldefeld ausgefüllt.
- Das Skript erfasst dann die Anmeldeinformationen und sendet Hashes der E-Mail zur Nachverfolgung an den Server zurück.
Nun stellt sich die Frage, warum Hashes? Die Antwort ist einfach. Zum größten Teil kann davon ausgegangen werden, dass sich die E-Mail-Adresse eines Benutzers im Laufe seines Lebens nicht ändert. Ein Hash ist also eine permanente Methode, um den Benutzer über mehrere Websites, Plattformen und sogar auf mobilen Apps hinweg zu verfolgen dass sie ihre E-Mails verwenden. Diese Informationen werden von den Trackern verwendet, um eine ausgefeilte Datenbank mit Benutzern zu erstellen, die auf mehreren Faktoren basiert. Auf diese Weise können sie Benutzer auf einfache Weise für die Schaltung von Anzeigen und böswilligere Absichten ansprechen, wenn sie dies möchten. Beispielsweise verwenden Benutzer häufig dieselbe E-Mail-Passwort-Kombination für verschiedene Websites. Wenn ein Angreifer ein mit einer E-Mail verknüpftes Kennwort knackt, kann er möglicherweise auch auf andere Konten zugreifen, indem er einfach dieselben Kennwörter oder Varianten mit geringfügigen Änderungen verwendet.
Die Forscher fanden zwei Skripte, die mit dieser Technik Daten stahlen, und das beängstigend genug, Die Skripte wurden in 1.110 der Top-1-Millionen-Websites von Alexa eingebettet.
Adthink, eines der Unternehmen, das die Skripte verwendet, enthält laut den Forschern sehr detaillierte Kategorien für die gesammelten Benutzerdaten, darunter Bildung, Beruf, Haarfarbe, Augenfarbe, Nettoeinkommen und mehr. Es enthält sogar Kategorien wie Alkohol und Tabak.
Sicherheitslücken wie diese sind nichts Neues. Tatsächlich sind sie seit mindestens 11 Jahren bekannt und diskutiert. Browser-Anbieter arbeiten jedoch nicht daran, da in Bezug auf die Benutzererfahrung alles einwandfrei funktioniert. Der Browser füllt Kennwörter in Anmeldefeldern automatisch aus, Benutzer sparen Zeit und können komplexe Kennwörter verwenden, die die Sicherheit im Web wesentlich verbessern.
Was können wir dagegen tun? Die Forscher erwähnen drei verschiedene Möglichkeiten, um ein Problem wie dieses anzugehen.
- Website-Ersteller können Anmeldeformulare in separaten Subdomains platzieren, um zu verhindern, dass das automatische Ausfüllen auf anderen Webseiten funktioniert, an die möglicherweise Tracking-Skripte von Drittanbietern angehängt sind.
- Benutzer können Werbeblocker und Anti-Tracking-Erweiterungen verwenden, um diese Skripte automatisch zu blockieren.
- Mit Webbrowsern können (und sollten) Benutzer die Funktion zum automatischen Ausfüllen vollständig deaktivieren. Es klingt ein wenig extrem, aber wenn ein Benutzer sich Sorgen um seine Daten macht, ist das Deaktivieren der automatischen Ausfüllung wahrscheinlich die beste Wahl.
Der Angriff ist relativ einfach durchzuführen und hat schwerwiegende Auswirkungen auf die Privatsphäre des Benutzers. Wenn Sie herausfinden möchten, wie es funktioniert, können Sie es in dieser Demo in Aktion ausprobieren.
Darüber hinaus ist es ratsam, sich eine Gewohnheit für gute Passwortpraktiken anzueignen. Wiederholen Sie nicht dasselbe Kennwort für alle Schlüsselanmeldungen. Ändern Sie sie regelmäßig und stellen Sie sicher, dass sie nicht aus leicht identifizierbaren Wörtern oder Zahlen wie Ihrem Geburtsdatum oder 12345678 oder Gott bewahre das Wort oder Passwort bestehen!
Also, was denkt ihr? Haben Sie das Gefühl, dass das automatische Ausfüllen heutzutage eine ernsthafte Bedrohung für die Privatsphäre darstellt, und verwenden Sie das automatische Ausfüllen trotzdem? Lass es uns in den Kommentaren unten wissen.
