Cómo explotan los rastreadores web los administradores de contraseñas

La mayoría de los navegadores web vienen con un administrador de contraseñas incorporado, una herramienta básica para guardar los datos de inicio de sesión en una base de datos y completar formularios y / o iniciar sesión en sitios automáticamente utilizando la información que está en la base de datos.

Los usuarios que desean más funcionalidad confían en administradores de contraseñas de terceros como LastPass, KeePass o Dashlane. Estos administradores de contraseñas agregan funcionalidad y pueden instalarse como extensiones de navegador o programas de escritorio.



Investigación del Centro de Política de Tecnología de la Información de Princeton sugiere que los rastreadores web recién descubiertos explotan los administradores de contraseñas para rastrear a los usuarios.

Los scripts de seguimiento aprovechan una debilidad de los administradores de contraseñas. Lo que sucede es lo siguiente según los investigadores:

  1. Un usuario visita un sitio web, registra una cuenta y guarda los datos en el administrador de contraseñas.
  2. El script de seguimiento se ejecuta en sitios de terceros. Cuando un usuario visita el sitio, los formularios de inicio de sesión se inyectan en el sitio de forma invisible.
  3. El administrador de contraseñas del navegador completará los datos si se encuentra un sitio coincidente en el administrador de contraseñas.
  4. El script detecta el nombre de usuario, lo codifica y lo envía a servidores de terceros para rastrear al usuario.

La siguiente representación gráfica visualiza el flujo de trabajo.

password manager web tracker exploit

Los investigadores analizaron dos scripts diferentes diseñados para explotar los administradores de contraseñas para obtener información identificable sobre los usuarios. Los dos scripts, AdThink y OnAudience, inyectan formularios de inicio de sesión invisibles en las páginas web para recuperar los datos del nombre de usuario que devuelve el administrador de contraseñas del navegador.



El script calcula los hash y los envía a servidores de terceros. El hash se utiliza para rastrear a los usuarios en los sitios sin el uso de cookies u otras formas de rastreo de usuarios.

El seguimiento de usuarios es uno de los santos griales de la publicidad online. Las empresas utilizan los datos para crear perfiles de usuario que registran los intereses de los usuarios en función de una serie de factores, por ejemplo, en función de los sitios visitados (deportes, entretenimiento, política, ciencia) o desde dónde se conecta un usuario a Internet.

Los guiones que analizaron los investigadores se centran en el nombre de usuario. Sin embargo, nada impide que otros scripts extraigan datos de contraseñas, algo que los scripts maliciosos ya han probado en el pasado.

Los investigadores analizaron 50.000 sitios web y no encontraron rastros de descarga de contraseñas en ninguno de ellos. Sin embargo, encontraron los scripts de seguimiento en 1,100 de los 1 millón de sitios web principales de Alexa.

Se utilizan los siguientes scripts:

  • AdThink: https://static.audienceinsights.net/t.js
  • OnAudience: http://api.behavioralengine.com/scripts/be-init.js

AdThink

opt-out tracking

El script de Adthink contiene categorías muy detalladas de rasgos personales, financieros y físicos, así como intenciones, intereses y datos demográficos.



Los investigadores describen la funcionalidad del script de la siguiente manera:

  1. El script lee la dirección de correo electrónico y envía los hash MD5, SHA1 y SHA256 a secure.audiencesights.net.
  2. Otra solicitud envía el hash MD5 de la dirección de correo electrónico al corredor de datos Acxiom (p-eu.acxiom-online.com)

Los usuarios de Internet pueden verificar el estado del seguimiento y optar por no recopilar datos en esta página.

OnAudience

El guión de OnAudience está 'más comúnmente presente en los sitios web polacos'.

  1. El script calcula el hash MD5 de las direcciones de correo electrónico y también otros datos del navegador que se utilizan comúnmente para la toma de huellas digitales (tipos MIME, complementos, dimensiones de la pantalla, idioma, información de la zona horaria, cadena del agente de usuario, información del sistema operativo y de la CPU).
  2. Se genera otro hash basado en los datos.

Protección contra el seguimiento web del formulario de inicio de sesión

Los usuarios pueden instalar bloqueadores de contenido para bloquear solicitudes a los dominios mencionados anteriormente. los EasyPrivacy list ya lo hace, pero es bastante fácil agregar las URL a la lista negra manualmente.

Otra defensa es la desactivación del llenado automático de datos de inicio de sesión. Los usuarios de Firefox pueden establecer la preferencia about: config? Filter = signon.autofillForms en false para deshabilitar el autocompletado.

Palabras de cierre

¿La industria de la publicación de anuncios está cavando su propia tumba? Los scripts de seguimiento invasivos son otra razón más para que los usuarios instalen bloqueadores de anuncios y contenido en los navegadores web.

Sí, este sitio también tiene anuncios. Me gustaría que hubiera otra opción para ejecutar un sitio independiente o una empresa que ofreciera soluciones de publicidad nativa que se ejecutan solo en el servidor en el que se ejecuta un sitio y que no requieren conexiones de terceros ni seguimiento de uso.

Puedes apoyarnos a través de Patreon, PayPal, o al dejar un comentario / correr la voz en Internet.