【限时免费】岁尾最强一次云计算大年夜会,看传统、社区、互联网企业若何碰撞?
安然研究人员发明,营销公司已经开端应用浏览器内置暗码治理器中已存在 11 年的一个马脚,来偷偷盗取你的电子邮件地址,以便在不合的浏览器和设备上投放有针对性的告白。
除了窃取电子邮件信息外,该马脚还可能许可恶意用户直接大年夜浏览器内偷偷保存你的用户名和暗码,在不须要和你交互的情况下。
【编辑推荐】
- 记一次在阿里云ubuntu办事器上的黑客还击战
- 你已封闭了的浏览器还可能被应用来挖矿, chrome已中招
- 2018年的黑客进击 你做好预备了吗?
- 微软封杀谷歌浏览器Chrome:违背软件市廛政策
- 14亿用户账号暗码被泄漏,银行、付出宝、比特币中枪,看竽暌剐你吗
每个主流的浏览器(Google Chrome, Mozilla Firefox, Opera or Microsoft Edge)都有一个内置的暗码治理对象,它许可用户保存本身的登录信息并用于主动填充表单(网页中负责数据采集功能的部分)。
因为用户往往只应用一个电子邮箱,它是环球无双的,并且几乎不会改换,是以电子邮件地址是个很好的用于跟踪用户的标识符。无论是清除 cookies、应用隐私浏览,照样改换设备,都不会阻拦用户被追踪。
Google Chrome中的暗码和表单功能
这些浏览器内置的暗码治理器是为了便应用户应用而设计的,因为它们会主动检测网页上的登录表单,并响应地填写在暗码治理器中保存的用户名和暗码等凭证。
研究人员表示:一般来说,登录表单的主动填充功能不须要用户做任何操作,所有的主流浏览器都邑急速填充用户名(平日是电子邮件地址),而不管表单的可见性若何。Chrome 不会主动填充暗码字段,直到用户点击或触摸页面上的任何地位。而其它浏览器不须要用户交互来主动填写暗码字段。
这些脚本主如果为跟踪用户而设计的,是以它们会检测用户名,并在应用 MD5、SHA1 和 SHA256 算法进行散列(也被称作「哈希」,将随便率性长度的输入转换成固定长度的输出)处理之后将其发送给第三方办事器,然后将其用作特定用户的持久 ID,以便对用户进行持续跟踪。
尽管研究人员已经发清楚明了应用这种跟踪脚本来获取用户名的市场营销公司,但以雷同方法收集用户暗码的组织今朝未被发明,它存在的可能性异常高。 然而,大年夜多半第三方暗码治理器,如 LastPass 和 1Password 都不轻易受到这种进击,因为它们避免了主动填充弗成见的表单,并且须要用户交互。
据极客公园测试,多款主流浏览器已经修复了这个马脚,不过我们仍然可以看到图中的演示。防止词攀类进击的最简单办法是在浏览器上禁用主动填充功能。同时,极客公园建议用户要按期修改暗码。
进击演示图(来自 The Hacker News )
其他的暗码治理对象也可能出现问题。本年 3 月,LastPass 再次被爆出安然马脚,谷歌 Project Zero 团队的安然研究人员 Tavis Ormandy 发明,在 LastPass Chrome 和 Firefox 4.1.42 版本插件中存在三个马脚,进击者能应用马脚大年夜暗码治理器中提取暗码,还可以履行受害者设毕喔赡敕令,该马脚存在于所有操作体系中。
LastPass 并非独一被曝马脚的暗码治理类应用,其他暗码治理器也出现过各类马脚。没有暗码治理器之前,我们记不居处有的暗码,而有了暗码治理器,它说不定会泄漏了你的暗码。
不过,跟着「扫描二维码登录」、生物辨认技巧和分析用户行动的技巧已经走进了大年夜家的生活,或许在将来的某一天,我们就可以拜别令人憎恶的暗码了。
来自普林斯顿大年夜学的一个研究小组发明,有两家营销公司正在应用这种内置的治理器马脚来追踪 Alexa(一家专门宣布网站世界排名的网站)上一百万个站点中的约 1110 个站点的拜访者。 研究人员发明这些网站上的第三方跟踪脚本在网页后台注入了隐蔽的用户登录(窗口),欺骗了基于浏览器的暗码治理器,应用保存的用户信息主动填写表单。
推荐阅读
如不雅断定值不是真值,则可以如许: 【限时免费】岁尾最强一次云计算大年夜会,看传统、社区、互联网企业若何碰撞? 1.三元操作符当想写if...else语句时,应用三元操作符来代替。const x =>>>详细阅读
地址:http://www.17bianji.com/lsqh/40249.html
1/2 1
网友点评
精彩导读
科技快报
品牌展示