Vulnerabilità nei browser permette a terze parti di rubare la password salvate

Vulnerabilità nei browser permette a terze parti di rubare la password salvate

Le password: sono la nostra croce e delizia. Per ogni account, com’è noto, è opportuno usare una password diversa che risulti abbastanza complessa e facile da ricordare….ma quante volte capita di dimenticarla? E’ proprio per questo che tutti i browser più largamente diffusi integrano al loro interno un gestore di password, il quale memorizza le credenziali che utilizziamo nei nostri account.

Molto spesso questi integrano anche un sistema di auto-completamento, cosa che sicuramente può renderci la vita più comoda. E’ proprio in questa funzione di auto-completamento che alcuni ricercatori hanno individuato una vulnerabilità che permette ad uno script di terze parti di entrare in possesso delle nostre password salvate. 

Alcuni ricercatori del centro tecnologico informatico Princeton hanno scoperto due campagne marketing, Adthink e OnAudience, che usavano uno script di questo genere per tracciare gli username dopo averne eseguito l’hash ed associandovi un tracking ID, utile per monitorare le abitudini dell’utente ed indirizzarvi banner pubblicitari mirati

Autofill blog post2
Via: Freedom To Tinker

Le credenziali venivano trafugate usando un form di log-in invisibile all’utente, il quale veniva riempito in automatico dalla funzione di auto-completamento del browser: in Firefox, Edge e Opera il riempimento avviene senza alcuna interazione da parte dell’utente, invece in Chrome è necessaria una minima interazione come un click da parte dell’utente in qualsiasi parte della pagina. 

Di seguito un video esplicativo creato dai ricercatori:

Come proteggersi?

Per proteggersi è possibile, per ora, disabilitare la funzione di auto-completamento, vediamo come. 

Google Chrome:

da Impostazioni > Avanzate > Password e Moduli > disabilitare le voci relative la Compilazione automatica e l’accesso automatico sotto la voce Gestisci Password

Mozilla Firefox:

da Opzioni > Privacy e Sicurezza > sotto la voce Moduli e Password > togliere la spunta da Ricorda le credenziali di accesso ai siti web 

Opera: 

da Impostazioni > Riservatezza e Sicurezza > togliere la spunta, sotto la voce Autocompletamento, dalla voce Attiva l’auto-completamento dei moduli nelle pagine web

Microsoft Edge:

da Impostazioni > Avanzate > disabilitare voce Salva i dati immessi nei moduli

Fonte (anche per immagini e video) ed approfondimento: No boundaries for user identities: Web trackers exploit browser login managers

 

Condividi questo articolo:

Share on PinterestShare on LinkedInShare on WhatsAppShare on Telegram
Firefox e Windows 11: sarà più semplice impostare Firefox come browser primario

Firefox e Windows 11: sarà più semplice impostare Firefox come browser primario

Impossibile stampare da stampanti di rete/USB condivise dopo l'installazione della KB5005565 in Windows 10

Impossibile stampare da stampanti di rete/USB condivise dopo l’installazione della KB5005565 in Windows 10

Windows 11 Supporto alle app di Android presto in arrivo

Windows 11 Supporto alle app di Android presto in arrivo

FIX error 0xC0070057 login Microsoft Teams

FIX error 0xC0070057 login Microsoft Teams

FIX iCloud si disattiva all'avvio di Outlook

FIX iCloud si disattiva all’avvio di Outlook

OFFICE 2021 GRATIS - Scaricarlo, installarlo e attivarlo in maniera gratuita e legale

OFFICE 2021 GRATIS – Scaricarlo, installarlo e attivarlo in maniera gratuita e legale

Lascia un commento