Scoperta una vulnerabilità nei password manager dei principali browser che permette di tracciare gli utenti.


Come noto i password manager integrati nei moderni browser permettono agli utenti di ricordare le credenziali di accesso e di inserirle in maniera automatica. Tuttavia, (dopo il bug trovato di recente in Keeper per Windows 10), in questi giorni alcuni ricercatori del Center for Information Technology Policy hanno scoperto una grave vulnerabilità che può essere sfruttata per tracciare gli utenti online e creare profili personalizzati, in base ai quali gli inserzionisti possono far visualizzare pubblicità mirate. In pratica il problema non è nuovo e risale ad oltre 10 anni fa, ma finora veniva usato solo dagli hacker per rubare le password attraverso attacchi XSS, (noti anche come cross-site scripting). Fortunatamente negli oltre 50.000 siti analizzati i ricercatori non hanno rilevato furti di password; anche hanno trovato script nascosti nelle pagine che, abusando della stessa tecnica, consentono di recuperare dai password manager gli indirizzi e-mail, utilizzati come "identificatori di tracciamento". In sostanza, come risaputo, quando i dati vengono inseriti per la prima volta per il login, il browser chiede all'utente se desidera salvarli: se il sito viene visitato successivamente e se l'utente ha acconsentito, le credenziali di accesso vengono inserite automaticamente, grazie alla funzionalità "autofill". Inoltre quando l'utente visita un'altra pagina dello stesso sito, dove non è necessario il login, lo script di tracking inserisce un form nascosto che viene riempito automaticamente dal password manager. A questo punto lo script registra l'indirizzo e-mail, genera un hash MD5, SHA1 o SHA256 e lo invia ad un server remoto: si tratta di un hash unico che permette di tracciare la navigazione online. Tra l'altro considerato che l'indirizzo e-mail non viene cancellato insieme alla cronologia ed ai cookie, (e di conseguenza l'hash è sempre valido), gli inserzionisti possono "seguire" l'utente e mostrare, appunto, banner pubblicitari personalizzati. Ad ogni modo i ricercatori di sicurezza hanno scoperto che i due principali servizi che sfruttano la vulnerabilità in questione sono Adthink ed OnAudience, ed hanno anche rilevato che il bug risulta essere presente in tutti i principali browser, (in particolar modo Firefox, Google Chrome, Safari, Internet Explorer ed Edge): ad esempio, Google Chrome inserisce la password solo se l'utente clicca sulla pagina, ma ciò non protegge ugualmente l'utente; motivo per il quale i ricercatori hanno deciso di creare un'apposita pagina in cui inserire finte credenziali di accesso per verificare l'esistenza della vulnerabilità. Comunque sia finché non verrà rilasciata una patch che vada a risolvere il problema sarebbe, infine, consigliabile non salvare le password sui browser, (e quindi non utilizzare i password manager in essi integrati), oppure installare un qualsiasi ad-blocker che blocca automaticamente i suddetti due domini, in quanto il filtro EasyPrivacy li include entrambi.

Di seguito un video d'esempio:

Commenti