Falla nei password manager dei browser: utenti tracciati
Ricercatori di Princeton hanno rilevato dei bug nei componenti di gestione delle chiavi di accesso dei principali applicativi per la navigazione. Sfruttando delle finte finestre di login le società di ad tracking possono creare dei profili univoci delle persone e analizzarne gusti e comportamenti sul Web.
Pubblicato il 03 gennaio 2018 da Redazione
Dall’inserimento di nome utente e password nei form di autenticazione alla pubblicità mirata, il passo sembra essere molto breve. Un gruppo di ricercatori del Center for Information Technology Policy di Princeton ha scoperto che tutti i password manager integrati nei browser più diffusi consentono alle aziende pubblicitarie di tracciare gusti e comportamenti degli utenti sul Web, creando dei profili personalizzati da “attaccare” con inserzioni ad hoc. Ovviamente senza chiedere niente ai diretti interessati. La scoperta del gruppo di lavoro di Princeton è inquietante, perché si presuppone che i password manager dei browser siano fortini inattaccabili. E invece no: tramite speciali script i tracker utilizzati dagli inserzionisti possono creare dei moduli di login invisibili, che forzano gli strumenti di gestione delle chiavi di accesso a inserire i dati dell’utente.
Subito dopo l’immissione, queste informazioni e l’Id del browser vengono mescolati in un identificatore univoco crittografato, che viene archiviato sui server e confrontato poi con tutte le altre interazioni che l’utente effettua sui siti Web coperti dallo stesso servizio di tracking. In questo modo gli inserzionisti possono analizzare liberamente le ricerche e le preferenze dei navigatori sulla Rete, ottenendo anche dati preziosi come i plugin utilizzati, le dimensioni dello schermo, le informazioni del sistema operativo e molto altro.
I ricercatori hanno testato tutti i principali browser (Firefox, Chrome, Internet Explorer, Edge e Safari) e tutte le applicazioni si sono comportate allo stesso modo. Fortunatamente, hanno spiegato gli esperti, non sono stati rilevati furti di password, che alle compagnie pubblicitarie interessano poco. Ma i password manager espongono comunque in chiaro informazioni sensibili come gli indirizzi email, che possono essere sfruttati per campagne mirate.
I due principali servizi che sfruttano il bug nascosto nei browser sono Adthink e Onaudience. I ricercatori hanno analizzato in totale oltre 50mila siti e, fino a quando la vulnerabilità dei password manager non verrà risolta, gli utenti possono cercare di interrompere il tracciamento in tre modi: installando degli ad blocker; ricorrendo alla blocklist di Easyprivacy, che interrompe l’esecuzione degli script, oppure non utilizzando i componenti di gestione integrati nei browser.
SICUREZZA
