Indice dei Contenuti
Le password: sono la nostra croce e delizia. Per ogni account, com’è noto, è opportuno usare una password diversa che risulti abbastanza complessa e facile da ricordare….ma quante volte capita di dimenticarla? E’ proprio per questo che tutti i browser più largamente diffusi integrano al loro interno un gestore di password, il quale memorizza le credenziali che utilizziamo nei nostri account.
Molto spesso questi integrano anche un sistema di auto-completamento, cosa che sicuramente può renderci la vita più comoda. E’ proprio in questa funzione di auto-completamento che alcuni ricercatori hanno individuato una vulnerabilità che permette ad uno script di terze parti di entrare in possesso delle nostre password salvate.
Alcuni ricercatori del centro tecnologico informatico Princeton hanno scoperto due campagne marketing, Adthink e OnAudience, che usavano uno script di questo genere per tracciare gli username dopo averne eseguito l’hash ed associandovi un tracking ID, utile per monitorare le abitudini dell’utente ed indirizzarvi banner pubblicitari mirati.
Le credenziali venivano trafugate usando un form di log-in invisibile all’utente, il quale veniva riempito in automatico dalla funzione di auto-completamento del browser: in Firefox, Edge e Opera il riempimento avviene senza alcuna interazione da parte dell’utente, invece in Chrome è necessaria una minima interazione come un click da parte dell’utente in qualsiasi parte della pagina.
Di seguito un video esplicativo creato dai ricercatori:
Come proteggersi?
Per proteggersi è possibile, per ora, disabilitare la funzione di auto-completamento, vediamo come.
Google Chrome:
da Impostazioni > Avanzate > Password e Moduli > disabilitare le voci relative la Compilazione automatica e l’accesso automatico sotto la voce Gestisci Password
Mozilla Firefox:
da Opzioni > Privacy e Sicurezza > sotto la voce Moduli e Password > togliere la spunta da Ricorda le credenziali di accesso ai siti web
Opera:
da Impostazioni > Riservatezza e Sicurezza > togliere la spunta, sotto la voce Autocompletamento, dalla voce Attiva l’auto-completamento dei moduli nelle pagine web
Microsoft Edge:
da Impostazioni > Avanzate > disabilitare voce Salva i dati immessi nei moduli
Fonte (anche per immagini e video) ed approfondimento: No boundaries for user identities: Web trackers exploit browser login managers