El error en los principales navegadores permite que los scripts de terceros roben sus contraseñas guardadas


Los investigadores de seguridad han descubierto cómo las empresas de marketing han comenzado a explotar un error de 11 años en los administradores de contraseñas incorporados en los navegadores, que les permiten robar secretamente su dirección de correo electrónico para publicidad dirigida en diferentes navegadores y dispositivos.

La principal preocupación es que la misma escapatoria podría permitir a los actores malintencionados robar sus nombres de usuario y contraseñas guardadas de los navegadores sin requerir su interacción.

Todos los navegadores modernos –Google Chrome, Mozilla Firefox, Opera o Microsoft Edge– hoy vienen con una herramienta incorporada de administración de contraseñas fácil de usar que le permite guardar su información de inicio de sesión para el llenado automático de formularios.

Estos administradores de contraseñas basados ​​en navegador están diseñados para su comodidad, ya que detectan automáticamente el formulario de inicio de sesión en una página web y completan las credenciales guardadas en consecuencia.

Sin embargo, un equipo de investigadores del Centro de Políticas de Tecnología de la Información de Princeton descubrió que al menos dos compañías de mercadotecnia, AdThink y OnAudience, explotan activamente esos administradores de contraseñas integradas para rastrear a los visitantes de alrededor de 1,110 de los más de 1 millón de sitios de Alexa en todo el país. Internet.

Los guiones de seguimiento de terceros encontrados por los investigadores en estos sitios web insertan formularios de inicio de sesión invisibles en el fondo de la página web, engañando a los administradores de contraseñas basados ​​en el navegador para que llenen automáticamente el formulario usando la información guardada del usuario.

“El formulario de inicio de sesión automático en general no requiere la interacción del usuario; todos los navegadores principales completarán automáticamente el nombre de usuario (a menudo una dirección de correo electrónico) de inmediato, independientemente de la visibilidad del formulario”, dicen los investigadores.

“Chrome no completa automáticamente el campo de contraseña hasta que el usuario hace clic o toca en cualquier lugar de la página. Otros buscadores que hemos probado no requieren la interacción del usuario para rellenar automáticamente los campos de contraseña”.

Dado que estos scripts están diseñados principalmente para el seguimiento del usuario, detectan el nombre de usuario y lo envían a servidores de terceros después de hash con los algoritmos MD5, SHA1 y SHA256, que luego podrían usarse como un ID persistente para que un usuario específico lo rastree, de página a página.

“Las direcciones de correo electrónico son únicas y persistentes, por lo que el hash de una dirección de correo electrónico es un excelente identificador de seguimiento”, dijeron los investigadores. “La dirección de correo electrónico de un usuario casi nunca cambiará, borrar las cookies, usar el modo de navegación privada o cambiar de dispositivo no impedirá el seguimiento”.

Aunque los investigadores han descubierto que las firmas de mercadotecnia recogen sus nombres de usuario usando tales guiones de rastreo, no existe una medida técnica para evitar que estos guiones recopilen sus contraseñas de la misma manera.

Sin embargo, la mayoría de los administradores de contraseñas de terceros , como LastPass y 1Password, no son propensos a este ataque, ya que evitan el autocompletado de formularios invisibles y también requieren la interacción del usuario.

Los investigadores también han creado una página de demostración , donde puede probar si el administrador de contraseñas de su navegador también filtra su nombre de usuario y contraseña a formularios invisibles.

La forma más sencilla de evitar dichos ataques es desactivar la función de autocompletar en su navegador.

Vía |thehackernews

log in

reset password

Back to
log in