当前位置:首页 > 科技 >
2018-01-04    来源:网络整理    编辑:懒人网

安全研究人员发现,营销公司已经开始利用浏览器内置密码管理器中已存在 11 年的一个漏洞,来偷偷窃取你的电子邮件地址,以便在不同的浏览器和设备上投放有针对性的广告。

除了窃取电子邮件信息外,该漏洞还可能允许恶意用户直接从浏览器内偷偷保存你的用户名和密码,在不需要和你交互的情况下。

每个主流的浏览器(Google Chrome, Mozilla Firefox, Opera or Microsoft Edge)都有一个内置的密码管理工具,它允许用户保存自己的登录信息并用于自动填充表单(网页中负责数据采集功能的部分)。

不要用浏览器内的保存密码了,因为可能被黑客记下来 IT业界 第1张

Google Chrome中的密码和表单功能

这些浏览器内置的密码管理器是为了方便用户使用而设计的,因为它们会自动检测网页上的登录表单,并相应地填写在密码管理器中保存的用户名和密码等凭证。

来自普林斯顿大学的一个研究小组发现,有两家营销公司正在利用这种内置的管理器漏洞来追踪 Alexa(一家专门发布网站世界排名的网站)上一百万个站点中的约 1110 个站点的访问者。 研究人员发现这些网站上的第三方跟踪脚本在网页后台注入了隐蔽的用户登录(窗口),欺骗了基于浏览器的密码管理器,使用保存的用户信息自动填写表单。

研究人员表示:一般来说,登录表单的自动填充功能不需要用户做任何操作,所有的主流浏览器都会立即填充用户名(通常是电子邮件地址),而不管表单的可见性如何。Chrome 不会自动填充密码字段,直到用户点击或触摸页面上的任何位置。而其它浏览器不需要用户交互来自动填写密码字段。

这些脚本主要是为跟踪用户而设计的,因此它们会检测用户名,并在使用 MD5、SHA1 和 SHA256 算法进行散列(也被称作「哈希」,将任意长度的输入转换成固定长度的输出)处理之后将其发送给第三方服务器,然后将其用作特定用户的持久 ID,以便对用户进行持续跟踪。

因为用户往往只使用一个电子邮箱,它是独一无二的,而且几乎不会更换,因此电子邮件地址是个很好的用于跟踪用户的标识符。无论是清除 cookies、使用隐私浏览,还是更换设备,都不会阻止用户被追踪。

尽管研究人员已经发现了使用这种跟踪脚本来获取用户名的市场营销公司,但以相同方式收集用户密码的组织目前未被发现,它存在的可能性非常高。 然而,大多数第三方密码管理器,如 LastPass 和 1Password 都不容易受到这种攻击,因为它们避免了自动填充不可见的表单,并且需要用户交互。

据极客公园测试,多款主流浏览器已经修复了这个漏洞,不过我们仍然可以看到图中的演示。防止此类攻击的最简单方法是在浏览器上禁用自动填充功能。同时,极客公园建议用户要定期修改密码。

不要用浏览器内的保存密码了,因为可能被黑客记下来 IT业界 第2张

攻击演示图(来自 The Hacker News )

其他的密码管理工具也可能出现问题。今年 3 月,LastPass 再次被爆出安全漏洞,谷歌 Project Zero 团队的安全研究人员 Tavis Ormandy 发现,在 LastPass Chrome 和 Firefox 4.1.42 版本插件中存在三个漏洞,攻击者能利用漏洞从密码管理器中提取密码,还可以执行受害者设备上的命令,该漏洞存在于所有操作系统中。

LastPass 并非唯一被曝漏洞的密码管理类应用,其他密码管理器也出现过各种漏洞。没有密码管理器之前,我们记不住所有的密码,而有了密码管理器,它说不定会泄露了你的密码。

不过,随着「扫描二维码登录」、生物识别技术和分析用户行为的技术已经走进了大家的生活,或许在未来的某一天,我们就可以告别令人讨厌的密码了。



  • 相关内容:


  • 百度搜索“不要用浏览器内的保存密码了,因为可能被黑客记下来”
  • 懒人网本文地址:http://lazyren.com/html/tech/20180104/14223.html



  • 阅读延展

    薅羊毛要低调,竟有人薅支付宝红包狂赚137万 薅羊毛要低调,竟有人薅支付宝红包狂赚137万
    圣诞节来临之际,支付宝号称拿出10个亿给大家发红包,最高可达1215元,而且推荐成功者自己也能领一份红包。 虽然说不少人领到的红包多数时候都是几毛钱几块钱,但这事儿其
     家家有本难念的经:BAT等八大互联网公司潜藏危机 家家有本难念的经:BAT等八大互联网公司潜藏危机
    在中国的互联网世界中,腾讯、阿里、百度、京东、360、小米、乐视、美大等等最受人瞩目。显然,这些公司都是成功者,也都有太多的成功经验让我们顶礼膜拜。
    马化腾对微信和QQ描绘的未来,差异很大啊 马化腾对微信和QQ描绘的未来,差异很大啊
    12月6日,在广州举办的财富全球论坛上,马化腾与《财富》杂志执行主编亚当·拉辛斯基进行了一场对话。 对话中,马化腾提到微信和QQ竞争的问题,他强调,“在大的挑战面前,
    这可是世界上最小的净化器! 这可是世界上最小的净化器!
    春风十里,不如让我看见眼前的你~市面上大多数的空气净化器都只能搁在家里,静静在家陪伴我的汪;万能的主,请赐我一台玲珑小巧,随处可带的迷你净化器吧!我保证认真搬砖
    百度、腾讯、阿里以及360内部通讯都用什么呢 百度、腾讯、阿里以及360内部通讯都用什么呢
    微信与QQ已经成为了大家最常用的即时通讯软件,但是随着工作的增加,这些软件已经不能满足办公的需求了,比如文件的传递,保存等,于是面对工作的软件被开发出来,并且被广
     阿里巴巴如何一步步成为技术最强的中国互联网公司? 阿里巴巴如何一步步成为技术最强的中国互联网公司?
    中国已经出现了包括阿里巴巴、腾讯和百度在内,以市值衡量的世界级科技公司,接下来,这些公司是否能证明自己在技术上的创造力?


    省钱绝招


    3