Vulnerabilità nei browser permette a terze parti di rubare la password salvate

Scritto da

Alvise C. Pubblicato: Gennaio 3, 2018Aggiornato il: Agosto 27, 2024 0 commenti 551 Guarda 2 minutes Leggi

Indice dei Contenuti

Le password: sono la nostra croce e delizia. Per ogni account, com’è noto, è opportuno usare una password diversa che risulti abbastanza complessa e facile da ricordare….ma quante volte capita di dimenticarla? E’ proprio per questo che tutti i browser più largamente diffusi integrano al loro interno un gestore di password, il quale memorizza le credenziali che utilizziamo nei nostri account.

Molto spesso questi integrano anche un sistema di auto-completamento, cosa che sicuramente può renderci la vita più comoda. E’ proprio in questa funzione di auto-completamento che alcuni ricercatori hanno individuato una vulnerabilità che permette ad uno script di terze parti di entrare in possesso delle nostre password salvate.

Alcuni ricercatori del centro tecnologico informatico Princeton hanno scoperto due campagne marketing, Adthink e OnAudience, che usavano uno script di questo genere per tracciare gli username dopo averne eseguito l’hash ed associandovi un tracking ID, utile per monitorare le abitudini dell’utente ed indirizzarvi banner pubblicitari mirati.

Autofill blog post2 — Via: Freedom To Tinker

Le credenziali venivano trafugate usando un form di log-in invisibile all’utente, il quale veniva riempito in automatico dalla funzione di auto-completamento del browser: in Firefox, Edge e Opera il riempimento avviene senza alcuna interazione da parte dell’utente, invece in Chrome è necessaria una minima interazione come un click da parte dell’utente in qualsiasi parte della pagina.

Di seguito un video esplicativo creato dai ricercatori:

Come proteggersi?

Per proteggersi è possibile, per ora, disabilitare la funzione di auto-completamento, vediamo come.

Google Chrome:

da Impostazioni > Avanzate > Password e Moduli > disabilitare le voci relative la Compilazione automatica e l’accesso automatico sotto la voce Gestisci Password

Mozilla Firefox:

da Opzioni > Privacy e Sicurezza > sotto la voce Moduli e Password > togliere la spunta da Ricorda le credenziali di accesso ai siti web

Opera:

da Impostazioni > Riservatezza e Sicurezza > togliere la spunta, sotto la voce Autocompletamento, dalla voce Attiva l’auto-completamento dei moduli nelle pagine web

Microsoft Edge:

da Impostazioni > Avanzate > disabilitare voce Salva i dati immessi nei moduli

Fonte (anche per immagini e video) ed approfondimento: No boundaries for user identities: Web trackers exploit browser login managers

Potresti Leggere:

Microsoft annuncia Windows 11: ecco le novità

Giugno 25, 2021
FIX Opzioni avanzate di ripristino scomparse in Windows 10

Ottobre 23, 2019
Come controllare se siamo vulnerabili ai bug Spectre e Meltdown

Gennaio 12, 2018
Sanremo Story: 2020

Giugno 10, 2020
FIX: Impossibile accedere al proprio utente dopo un aggiornamento

Luglio 4, 2020
Come abilitare la scansione periodica limitata di Windows Defender

Marzo 15, 2017

Alvise C.

Microsoft MVP Windows Expert dal 2011 fino al 2017 e dal 2017 Microsoft MVP Windows Insider. Google Certified e Comptia Security + Certified, ha scritto per WindowsBlogItalia e Windowsteca. Appassionato ed esperto dei sistemi Microsoft Windows e della sicurezza informatica. In caso di difficoltà non esitate a commentare l'articolo; prima di fare modifiche al sistema è consigliato creare un punto di ripristino. In caso di installazione di strumenti terzi prestare attenzione alle spunte ed alle installazioni supplementari superflue. Per info: [email protected] Iscriviti su LinkedIn alla mia newsletter https://www.linkedin.com/build-relation/newsletter-follow?entityUrn=7019043583668187136

Articolo Precedente

Netflix: ecco come accedere alle categorie segrete

Prossimo Articolo

Falso Flash Player mette a rischio i dispositivi Android

Scelti Da Noi

Ara: il nuovo Age of Empires V?

da Giovanni Correddu Giugno 20, 2025

Epson coinvolta in un possibile furto di dati: cosa sappiamo finora

da Giovanni Correddu Giugno 5, 2025

Calendario Outlook e Teams non si sincronizzano

da Alvise C. Giugno 2, 2025

Posts a Random

Svelata la data in cui arriverà “Moonvale”

da Giovanni Correddu Marzo 28, 2024

Come forzare Microsoft Edge (e non solo) ad usare la GPU migliore

da Alvise C. Giugno 5, 2018

FIX: spazio su disco riconosciuto come RAW

da Elvis Agosto 16, 2020

Punto di riferimento per il mondo Windows con articoli e guide letti ogni giorno, ci trovi anche nella MS Community con gli articoli WIKI del Microsoft MVP (dal 2011 al 2020) Alvise C.

Contact us: [email protected]

Privacy Policy Cookie Policy

Questo blog non rappresenta una testata giornalistica in quanto viene aggiornato senza alcuna periodicità.
Non può pertanto considerarsi un prodotto editoriale ai sensi della legge n° 62 del 7.03.2001.
L’autore del blog non è responsabile del contenuto dei commenti ai post, nè del contenuto dei siti linkati.
Alcuni testi o immagini inseriti in questo blog sono tratti da internet e, pertanto, considerati di pubblico dominio; qualora la loro pubblicazione violasse eventuali diritti d’autore, vogliate comunicarlo via email a [email protected] e saranno immediatamente rimossi.