安全研究人員發(fā)現(xiàn)����,營(yíng)銷(xiāo)公司已經(jīng)開(kāi)始利用瀏覽器內(nèi)置密碼管理器中已存在 11 年的一個(gè)漏洞,來(lái)偷偷竊取你的電子郵件地址��,以便在不同的瀏覽器和設(shè)備上投放有針對(duì)性的廣告���。
除了竊取電子郵件信息外��,該漏洞還可能允許惡意用戶(hù)直接從瀏覽器內(nèi)偷偷保存你的用戶(hù)名和密碼����,在不需要和你交互的情況下。
每個(gè)主流的瀏覽器都有一個(gè)內(nèi)置的密碼管理工具����,它允許用戶(hù)保存自己的登錄信息并用于自動(dòng)填充表單(網(wǎng)頁(yè)中負(fù)責(zé)數(shù)據(jù)采集功能的部分)。
Google Chrome中的密碼和表單功能
這些瀏覽器內(nèi)置的密碼管理器是為了方便用戶(hù)使用而設(shè)計(jì)的,因?yàn)樗鼈儠?huì)自動(dòng)檢測(cè)網(wǎng)頁(yè)上的登錄表單��,并相應(yīng)地填寫(xiě)在密碼管理器中保存的用戶(hù)名和密碼等憑證�。
來(lái)自普林斯頓大學(xué)的一個(gè)研究小組發(fā)現(xiàn),有兩家營(yíng)銷(xiāo)公司正在利用這種內(nèi)置的管理器漏洞來(lái)追蹤 Alexa(一家專(zhuān)門(mén)發(fā)布網(wǎng)站世界排名的網(wǎng)站)上一百萬(wàn)個(gè)站點(diǎn)中的約 1110 個(gè)站點(diǎn)的訪問(wèn)者�。 研究人員發(fā)現(xiàn)這些網(wǎng)站上的第三方跟蹤腳本在網(wǎng)頁(yè)后臺(tái)注入了隱蔽的用戶(hù)登錄(窗口)��,欺騙了基于瀏覽器的密碼管理器����,使用保存的用戶(hù)信息自動(dòng)填寫(xiě)表單。
研究人員表示:一般來(lái)說(shuō)��,登錄表單的自動(dòng)填充功能不需要用戶(hù)做任何操作,所有的主流瀏覽器都會(huì)立即填充用戶(hù)名(通常是電子郵件地址)�,而不管表單的可見(jiàn)性如何。Chrome 不會(huì)自動(dòng)填充密碼字段�����,直到用戶(hù)點(diǎn)擊或觸摸頁(yè)面上的任何位置��。而其它瀏覽器不需要用戶(hù)交互來(lái)自動(dòng)填寫(xiě)密碼字段���。
這些腳本主要是為跟蹤用戶(hù)而設(shè)計(jì)的��,因此它們會(huì)檢測(cè)用戶(hù)名�,并在使用 MD5����、SHA1 和 SHA256 算法進(jìn)行散列(也被稱(chēng)作「哈希」��,將任意長(zhǎng)度的輸入轉(zhuǎn)換成固定長(zhǎng)度的輸出)處理之后將其發(fā)送給第三方服務(wù)器�,然后將其用作特定用戶(hù)的持久 ID����,以便對(duì)用戶(hù)進(jìn)行持續(xù)跟蹤。
因?yàn)橛脩?hù)往往只使用一個(gè)電子郵箱,它是獨(dú)一無(wú)二的��,而且?guī)缀醪粫?huì)更換�����,因此電子郵件地址是個(gè)很好的用于跟蹤用戶(hù)的標(biāo)識(shí)符��。無(wú)論是清除 cookies����、使用隱私瀏覽,還是更換設(shè)備���,都不會(huì)阻止用戶(hù)被追蹤���。
盡管研究人員已經(jīng)發(fā)現(xiàn)了使用這種跟蹤腳本來(lái)獲取用戶(hù)名的市場(chǎng)營(yíng)銷(xiāo)公司,但以相同方式收集用戶(hù)密碼的組織目前未被發(fā)現(xiàn)����,它存在的可能性非常高�。 然而,大多數(shù)第三方密碼管理器�����,如 LastPass 和 1Password 都不容易受到這種攻擊,因?yàn)樗鼈儽苊饬俗詣?dòng)填充不可見(jiàn)的表單���,并且需要用戶(hù)交互���。
據(jù)極客公園測(cè)試,多款主流瀏覽器已經(jīng)修復(fù)了這個(gè)漏洞��,不過(guò)我們?nèi)匀豢梢钥吹綀D中的演示�。防止此類(lèi)攻擊的最簡(jiǎn)單方法是在瀏覽器上禁用自動(dòng)填充功能。同時(shí)��,極客公園建議用戶(hù)要定期修改密碼�����。
攻擊演示圖(來(lái)自 The Hacker News )
其他的密碼管理工具也可能出現(xiàn)問(wèn)題����。今年 3 月�,LastPass 再次被爆出安全漏洞�,谷歌 Project Zero 團(tuán)隊(duì)的安全研究人員 Tavis Ormandy 發(fā)現(xiàn),在 LastPass Chrome 和 Firefox 4.1.42 版本插件中存在三個(gè)漏洞���,攻擊者能利用漏洞從密碼管理器中提取密碼����,還可以執(zhí)行受害者設(shè)備上的命令��,該漏洞存在于所有操作系統(tǒng)中�����。
LastPass 并非唯一被曝漏洞的密碼管理類(lèi)應(yīng)用���,其他密碼管理器也出現(xiàn)過(guò)各種漏洞����。沒(méi)有密碼管理器之前���,我們記不住所有的密碼�,而有了密碼管理器�,它說(shuō)不定會(huì)泄露了你的密碼。
不過(guò)�,隨著「掃描二維碼登錄」、生物識(shí)別技術(shù)和分析用戶(hù)行為的技術(shù)已經(jīng)走進(jìn)了大家的生活����,或許在未來(lái)的某一天,我們就可以告別令人討厭的密碼了����。
