Vulnerabilità nei browser permette a terze parti di rubare la password salvate

Le password: sono la nostra croce e delizia. Per ogni account, com’è noto, è opportuno usare una password diversa che risulti abbastanza complessa e facile da ricordare….ma quante volte capita di dimenticarla? E’ proprio per questo che tutti i browser più largamente diffusi integrano al loro interno un gestore di password, il quale memorizza le credenziali che utilizziamo nei nostri account.

Molto spesso questi integrano anche un sistema di auto-completamento, cosa che sicuramente può renderci la vita più comoda. E’ proprio in questa funzione di auto-completamento che alcuni ricercatori hanno individuato una vulnerabilità che permette ad uno script di terze parti di entrare in possesso delle nostre password salvate. 

Ad

Alcuni ricercatori del centro tecnologico informatico Princeton hanno scoperto due campagne marketing, Adthink e OnAudience, che usavano uno script di questo genere per tracciare gli username dopo averne eseguito l’hash ed associandovi un tracking ID, utile per monitorare le abitudini dell’utente ed indirizzarvi banner pubblicitari mirati

Via: Freedom To Tinker

Le credenziali venivano trafugate usando un form di log-in invisibile all’utente, il quale veniva riempito in automatico dalla funzione di auto-completamento del browser: in Firefox, Edge e Opera il riempimento avviene senza alcuna interazione da parte dell’utente, invece in Chrome è necessaria una minima interazione come un click da parte dell’utente in qualsiasi parte della pagina. 

Di seguito un video esplicativo creato dai ricercatori:

Come proteggersi?

Per proteggersi è possibile, per ora, disabilitare la funzione di auto-completamento, vediamo come. 

Google Chrome:

da Impostazioni > Avanzate > Password e Moduli > disabilitare le voci relative la Compilazione automatica e l’accesso automatico sotto la voce Gestisci Password

Mozilla Firefox:

da Opzioni > Privacy e Sicurezza > sotto la voce Moduli e Password > togliere la spunta da Ricorda le credenziali di accesso ai siti web 

Opera: 

da Impostazioni > Riservatezza e Sicurezza > togliere la spunta, sotto la voce Autocompletamento, dalla voce Attiva l’auto-completamento dei moduli nelle pagine web

Microsoft Edge:

da Impostazioni > Avanzate > disabilitare voce Salva i dati immessi nei moduli

Fonte (anche per immagini e video) ed approfondimento: No boundaries for user identities: Web trackers exploit browser login managers

 

Seguimi

Elvis

Microsoft MVP Windows Expert dal 2011 fino al 2017 e dal 2017 Microsoft MVP Windows Insider. Google Certified e Comptia Security + Certified, ha scritto per WindowsBlogItalia e Windowsteca. Appassionato ed esperto dei sistemi Microsoft Windows e della sicurezza informatica.

In caso di difficoltà non esitate a commentare l'articolo; prima di fare modifiche al sistema è consigliato creare un punto di ripristino.

In caso di installazione di strumenti terzi prestare attenzione alle spunte ed alle installazioni supplementari superflue.
Elvis
Seguimi
(Visited 104 times, 1 visits today)
Ad

About Elvis

Microsoft MVP Windows Expert dal 2011 fino al 2017 e dal 2017 Microsoft MVP Windows Insider. Google Certified e Comptia Security + Certified, ha scritto per WindowsBlogItalia e Windowsteca. Appassionato ed esperto dei sistemi Microsoft Windows e della sicurezza informatica. In caso di difficoltà non esitate a commentare l'articolo; prima di fare modifiche al sistema è consigliato creare un punto di ripristino. In caso di installazione di strumenti terzi prestare attenzione alle spunte ed alle installazioni supplementari superflue.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *