Κενό ασφαλείας στους browser επιτρέπει την κλοπή password

|
THESTIVAL TEAM

Ερευνητές ασφαλείας υπολογιστικών συστημάτων ανακάλυψαν ότι εταιρείες marketing εκμεταλλεύονται ένα κενό ασφαλείας στους ενσωματωμένους password manager δημοφιλών browser, το οποίο υπάρχει εδώ και 11 χρόνια χωρίς να έχει ακόμα ανακαλυφθεί και αντιμετωπιστεί από τους κατασκευαστές.

Το συγκεκριμένο bug, σύμφωνα με το gr.pcmag.com, επιτρέπει την κλοπή των αποθηκευμένων διευθύνσεων email των χρηστών με σκοπό την προβολή στοχευμένων διαφήμισεων σε διαφορετικές συσκευές και browser. Το χειρότερο, είναι πως το ίδιο bug επιτρέπει και την κλοπή των αποθηκευμένων στοιχείων πρόσβασης σε websites και άλλες υπηρεσίες στην πλήρη μορφή τους, δηλαδή username και password.

Όλοι οι δημοφιλείς browser, Google Chrome, Mozilla Firefox, Opera και Microsoft Edge έχουν τη δυνατότητα αυτόματης συμπλήρωσης των αποθηκευμένων στοιχείων στις φόρμες του εκάστοτε website, αναγνωρίζοντας πότε ο χρήστης επισκέπτεται ποιο. Οι επιτήδιοι, εκμεταλλευόμενοι αυτή τη λειτουργία, μπορούν να αποκτήσουν πρόσβαση στα στοιχεία των χρηστών και να τα κλέψουν.

Οι ερευνητές του Princeton Center for Information Technology Policy ανακάλυψαν πως τουλάχιστον δύο εταιρείες, η AdThink και η OnAudience, έχουν εκμεταλλευτεί την ευπάθεια των ενσωματωμένων password manager και ακολουθούν τους επισκέπτες περίπου 1.110 δημοφιλών sites. Αυτό έγινε αφού ανίχνευσαν script που ενεργοποιούσαν στο παρασκήνιο φόρμες εισόδου (αθέατες στους χρήστες), παραπλανώντας τους password manager των browser στην αυτόματη συμπλήρωση των φορμών. Κατόπιν, με συγκεκριμένες τεχνικές και επεξεργασία έστελναν τα στοιχεία σε τρίτους server και αντιστοιχούσαν τις επισκέψεις των χρηστών με τα στοιχεία τους ώστε να προσωποιήσουν τις επισκέψεις τους, να τους ακολουθούν κατά το σερφάρισμά τους και να τους σερβίρουν προσωποποιημένες διαφημίσεις.

Οι περισσότεροι password manager τρίτων κατασκευαστών, όπως ο LastPass και ο 1Password δεν είναι ευάλωτοι σε αυτή την τεχνική, αφού δεν επιτρέπουν την αυτόματη συμπλήρωση των φορμών με τα στοιχεία των χρηστών.

Ο πιο απλός τρόπος για να προστατευτείτε, οπως αναφέρει το gr.pcmag.com, είναι να απενεργοποιήσετε τη λειτουργία αυτόματης συμπλήρωσης των φορμών στους browser σας. Για να ελέγξετε εάν και εσείς είστε ευάλλωτοι, επισκευτείτε τη σελίδα που δημιούργησαν οι ερευνητές για να διαπιστώσετε εάν ο password manager του browser σας συμπληρώνει αυτόματα το username και το password σας σε αθέατες φόρμες login. Προσοχή όμως: συμπληρώστε ένα ψεύτικο email και password για χάρη του ελέγχου και όχι κάποια πραγματικά στοιχεία login.

Ακολουθήστε το Thestival στο Google News και μάθετε πρώτοι όλες τις ειδήσεις από τη Θεσσαλονίκη, την Ελλάδα και τον κόσμο.