W każdej rozmowie na temat bezpieczeństwa w Internecie usłyszysz kilka rzeczy; jednym z pierwszych byłoby użycie menedżera haseł. Powiedziałem to, większość moich współpracowników to powiedziała, i jest prawdopodobne, że to powiedziałeś, pomagając komuś innemu w znalezieniu sposobów na zapewnienie bezpieczeństwa i bezpieczeństwa ich danych. To nadal dobra rada, ale ostatnie badania przeprowadzone przez Centrum Polityki Informatycznej Uniwersytetu Princeton wykazały, że menedżer haseł w przeglądarce internetowej, którego możesz użyć do zachowania poufności informacji, pomaga firmom reklamowym śledzić Cię w Internecie.
To przerażający scenariusz ze wszystkich stron, głównie dlatego, że nie będzie łatwo go naprawić. To, co się dzieje, nie polega na kradzieży jakichkolwiek danych uwierzytelniających - firma reklamowa nie chce twojej nazwy użytkownika i hasła - ale zachowanie, które stosuje menedżer haseł, jest wykorzystywane w bardzo prosty sposób. Firma reklamowa umieszcza skrypt na stronie (dwie wywoływane z nazwy to AdThink i OnAudience), która działa jak formularz logowania. To nie jest prawdziwy formularz logowania, ponieważ nie będzie łączył Cię z żadną usługą, to „tylko” skrypt logowania.
Gdy menedżer haseł zobaczy formularz logowania, wprowadzi nazwę użytkownika. Testowane przeglądarki to: Firefox, Chrome, Internet Explorer, Edge i Safari. Na przykład Chrome nie wprowadzi hasła, dopóki użytkownik nie wejdzie w interakcję z formularzem, ale automatycznie wprowadzi nazwę użytkownika. W porządku, ponieważ to wszystko, czego chce lub potrzebuje skrypt. Inne przeglądarki działały tak samo, jak oczekiwano.
Po wprowadzeniu nazwy użytkownika i identyfikatora przeglądarki są one mieszane w unikalny identyfikator. Nie musisz niczego zapisywać na komputerze ani telefonie, ponieważ przy następnej wizycie w witrynie korzystającej z tej samej firmy reklamowej pojawi się inny skrypt działający jako formularz logowania, a nazwa użytkownika zostanie ponownie wprowadzona. Dane są porównywane z zawartością pliku, a et voilà został do Ciebie dołączony unikalny identyfikator i może być (i jest) wykorzystywany do śledzenia Cię w Internecie. I to działa, ponieważ jest to oczekiwane i „zaufane” zachowanie. Oprócz mapy twoich nawyków internetowych dane, które można dołączyć do tego identyfikatora UUID, obejmują również wtyczki przeglądarki, typy MIME, wymiary ekranu, język, informacje o strefie czasowej, ciąg agenta użytkownika, informacje o systemie operacyjnym i informacje o procesorze.
Zestaw heurystyk używany do określania, które formularze logowania będą automatycznie wypełniane, różni się w zależności od przeglądarki, ale podstawowym wymogiem jest dostępność pola nazwy użytkownika i hasła
Działa z powodu tak zwanej zasady tego samego pochodzenia. Prezentacji treści z dwóch różnych źródeł nie można ufać, ale po zaufaniu źródłu zaufana jest również cała zawartość dla bieżącej sesji (zaufanie w tym sensie oznacza celowe przeglądanie lub interakcję z treścią). Skierowałeś swoją przeglądarkę na stronę internetową i wchodziłeś w interakcję z formularzem logowania na tej stronie, więc wszystko jest traktowane jako zaufane, gdy jesteś na stronie. W tym przypadku jednak skrypt został osadzony na stronie, ale tak naprawdę pochodzi z innego źródła i nie należy ufać, dopóki nie klikniesz lub nie będziesz w jakikolwiek sposób współdziałał, aby pokazać, że masz zamiar tam być.
Jeśli niewłaściwe elementy strony zostałyby osadzone w ramce iframe lub innej metodzie, która pasuje do źródła i miejsca docelowego danych, automatyczność tego exploita (i tak, nazywam go exploitem) nie działałaby.
Lista znanych witryn osadzających skrypty, które wykorzystują menedżera logowania do śledzenia
Istnieje bardzo duża szansa, że wydawcy internetowi korzystający z usług reklamowych wykorzystujących to zachowanie nie mają pojęcia o tym, co dzieje się z ich użytkownikami. Chociaż nie zwalnia ich to od odpowiedzialności, ostatecznie ich produkt jest wykorzystywany do zbierania danych od użytkowników bez ich wiedzy, co powinno wzbudzić niepokój każdego administratora witryny (i być może bardzo zirytowanego). Jako użytkownik niewiele możemy zrobić poza przestrzeganiem tych samych praktyk przeglądania sieci w trybie incognito, gdy chcemy zachować nieco większą prywatność w sieci. Oznacza to blokowanie wszystkich skryptów, blokowanie wszystkich reklam, zapisywanie danych, brak akceptacji plików cookie i w zasadzie każdą sesję internetową traktować jak własną piaskownicę.
Jedyną prawdziwą poprawką jest zmiana sposobu działania menedżerów haseł w przeglądarce - zarówno wbudowanych narzędzi, jak i rozszerzeń lub innych wtyczek. Arvind Narayanan, jeden z profesorów, którzy pracowali nad projektem, ujmuje to zwięźle:
Nie będzie łatwo go naprawić, ale warto to zrobić
Google, Microsoft, Apple i Mozilla ukształtowały Internet w dzisiejszy sposób i są w stanie zmieniać rzeczy, aby sprostać nowym problemom. Mamy nadzieję, że jest to na krótkiej liście zmian.
