Dall’inserimento di nome utente e password nei form di autenticazione alla pubblicità mirata, il passo sembra essere molto breve. Un gruppo di ricercatori del Center for Information Technology Policy di Princeton ha scoperto che tutti i password manager integrati nei browser più diffusi consentono alle aziende pubblicitarie di tracciare gusti e comportamenti degli utenti sul Web, creando dei profili personalizzati da “attaccare” con inserzioni ad hoc. Ovviamente senza chiedere niente ai diretti interessati. La scoperta del gruppo di lavoro di Princeton è inquietante, perché si presuppone che i password manager dei browser siano fortini inattaccabili. E invece no: tramite speciali script i tracker utilizzati dagli inserzionisti possono creare dei moduli di login invisibili, che forzano gli strumenti di gestione delle chiavi di accesso a inserire i dati dell’utente.
Subito dopo l’immissione, queste informazioni e l’Id del browser vengono mescolati in un identificatore univoco crittografato, che viene archiviato sui server e confrontato poi con tutte le altre interazioni che l’utente effettua sui siti Web coperti dallo stesso servizio di tracking. In questo modo gli inserzionisti possono analizzare liberamente le ricerche e le preferenze dei navigatori sulla Rete, ottenendo anche dati preziosi come i plugin utilizzati, le dimensioni dello schermo, le informazioni del sistema operativo e molto altro.
I ricercatori hanno testato tutti i principali browser (Firefox, Chrome, Internet Explorer, Edge e Safari) e tutte le applicazioni si sono comportate allo stesso modo. Fortunatamente, hanno spiegato gli esperti, non sono stati rilevati furti di password, che alle compagnie pubblicitarie interessano poco. Ma i password manager espongono comunque in chiaro informazioni sensibili come gli indirizzi email, che possono essere sfruttati per campagne mirate.
I due principali servizi che sfruttano il bug nascosto nei browser sono Adthink e Onaudience. I ricercatori hanno analizzato in totale oltre 50mila siti e, fino a quando la vulnerabilità dei password manager non verrà risolta, gli utenti possono cercare di interrompere il tracciamento in tre modi: installando degli ad blocker; ricorrendo alla blocklist di Easyprivacy, che interrompe l’esecuzione degli script, oppure non utilizzando i componenti di gestione integrati nei browser.