Ci sono alcune cose che sentirai in ogni conversazione sulla sicurezza di Internet; uno dei primi sarebbe quello di utilizzare un gestore di password. L'ho detto, la maggior parte dei miei colleghi lo ha detto, e è probabile che tu l'abbia detto mentre aiutavi qualcun altro a trovare modi per mantenere i loro dati sani e salvi. È ancora un buon consiglio, ma un recente studio del Center for Information Technology Policy della Princeton University ha scoperto che il gestore di password nel browser Web che potresti utilizzare per mantenere le tue informazioni private sta anche aiutando le aziende pubblicitarie a seguirti attraverso il web.
È uno scenario spaventoso da tutte le parti, soprattutto perché non sarà facile da risolvere. Quello che sta succedendo non è il furto di credenziali - una società pubblicitaria non vuole il tuo nome utente e password - ma il comportamento che utilizza un gestore di password viene sfruttato in modo molto semplice. Una società pubblicitaria inserisce uno script in una pagina (due chiamati per nome sono AdThink e OnAudience) che funge da modulo di accesso. Non è un vero modulo di accesso, in quanto non ti collegherà a nessun servizio, è "solo" uno script di accesso.
Quando il gestore delle password vede un modulo di accesso, inserisce un nome utente. I browser testati erano: Firefox, Chrome, Internet Explorer, Edge e Safari. Chrome, ad esempio, non inserirà la password finché l'utente non interagisce con il modulo, ma inserisce automaticamente un nome utente. Va bene perché è tutto ciò che la sceneggiatura vuole o ha bisogno. Altri browser si sono comportati allo stesso modo, come previsto.
Una volta inserito il nome utente, esso e l'ID del browser vengono sottoposti a hash in un identificatore univoco. Non è necessario salvare nulla sul tuo computer o telefono perché la prossima volta che visiti un sito che utilizza la stessa società pubblicitaria ricevi un altro script che funge da modulo di accesso e il tuo nome utente viene nuovamente inserito. I dati vengono confrontati con ciò che è in archivio, e voilà un identificatore univoco ti è stato allegato e può essere (e viene) utilizzato per tracciarti attraverso il Web. E questo funziona perché è previsto un comportamento "attendibile". Oltre a una tabella di marcia delle tue abitudini Internet, i dati che si trovano in allegato a questo UUID includono anche plugin del browser, tipi MIME, dimensioni dello schermo, lingua, informazioni sul fuso orario, stringa dell'agente utente, informazioni sul sistema operativo e informazioni sulla CPU.
L'insieme di euristiche utilizzate per determinare quali moduli di accesso verranno compilati automaticamente varia in base al browser, ma il requisito di base è che siano disponibili un campo nome utente e password
Funziona a causa di ciò che è noto come la stessa politica di origine. Quando viene presentato il contenuto di due fonti diverse, non è attendibile, ma una volta che una fonte viene considerata attendibile, anche tutti i contenuti per la sessione corrente vengono considerati attendibili (la fiducia in questo senso significa che stai visualizzando o interagendo intenzionalmente con il contenuto). Hai indirizzato il tuo browser a una pagina web e hai interagito con un modulo di accesso su quella pagina, quindi è tutto considerato affidabile mentre ti trovi sulla pagina. In questo caso, tuttavia, lo script è stato incorporato in una pagina ma in realtà proviene da una fonte diversa e non dovrebbe essere attendibile fino a quando non si fa clic o si interagisce in qualche modo per mostrare che si intende essere lì.
Se gli elementi di pagina offensivi fossero incorporati in un iframe o in un altro metodo che corrisponde alla fonte e alla destinazione dei dati, l'automaticità di questo exploit (e sì, lo chiamerò un exploit) non funzionerebbe.
Un elenco di siti noti che incorporano script che abusano del gestore degli accessi per il monitoraggio
È molto probabile che gli editori web che utilizzano servizi pubblicitari che sfruttano questo comportamento non abbiano idea di cosa stia succedendo ai loro utenti. Sebbene ciò non li esenti da responsabilità, in definitiva è il loro prodotto utilizzato per raccogliere dati dagli utenti a loro insaputa, e ciò dovrebbe rendere tutti gli amministratori del sito interessati (e possibilmente molto irati). Come utente, non c'è molto che possiamo fare oltre a seguire le stesse pratiche di navigazione in incognito utilizzate quando vogliamo rimanere un po 'più private sul web. Ciò significa bloccare tutti gli script, bloccare tutti gli annunci, salvare dati, accettare cookie e sostanzialmente trattare ogni sessione Web come la propria sandbox.
L'unica vera correzione è cambiare il modo in cui i gestori di password funzionano attraverso il browser, sia strumenti che estensioni integrate o altri plugin. Arvind Narayanan, uno dei professori che hanno lavorato al progetto, in breve:
Non sarà facile da risolvere, ma vale la pena farlo
Google, Microsoft, Apple e Mozilla hanno modellato il Web in quello che è oggi e sono in grado di cambiare le cose per far fronte a nuovi problemi. Speriamo che questo sia nel breve elenco di modifiche.
