Οι ερευνητές του Princeton Center for Information Technology Policy ανακάλυψαν πως εταιρείες marketing εκμεταλλεύονται ένα κενό ασφαλείας στους ενσωματωμένους password manager δημοφιλών browser, που υπάρχει εδώ και 11 χρόνια χωρίς να έχει ακόμα ανακαλυφθεί και αντιμετωπιστεί από τους κατασκευαστές.
Το bug επιτρέπει την κλοπή των αποθηκευμένων διευθύνσεων email των χρηστών με σκοπό την προβολή στοχευμένων διαφήμισεων σε διαφορετικές συσκευές και browser. Επιπλέον επιτρέπει και την κλοπή των αποθηκευμένων στοιχείων πρόσβασης σε websites και άλλες υπηρεσίες στην πλήρη μορφή τους, δηλαδή username και password.
Όλοι οι δημοφιλείς browser, Google Chrome, Mozilla Firefox, Opera και Microsoft Edge έχουν τη δυνατότητα αυτόματης συμπλήρωσης των αποθηκευμένων στοιχείων στις φόρμες του εκάστοτε website, αναγνωρίζοντας πότε ο χρήστης επισκέπτεται ποιο. Οι επιτήδιοι, εκμεταλλευόμενοι αυτή τη λειτουργία, μπορούν να αποκτήσουν πρόσβαση στα στοιχεία των χρηστών και να τα κλέψουν.
Τουλάχιστον δύο εταιρείες, η AdThink και η OnAudience, έχουν εκμεταλλευτεί την ευπάθεια των ενσωματωμένων password manager και ακολουθούν τους επισκέπτες περίπου 1.110 δημοφιλών sites.
Ο πιο απλός τρόπος για να προστατευτείτε, είναι να απενεργοποιήσετε τη λειτουργία αυτόματης συμπλήρωσης των φορμών στους browser σας. Για να ελέγξετε εάν και εσείς είστε ευάλλωτοι, επισκευτείτε το link που οι ερευνητές δημιούργησαν, για να διαπιστώσετε εάν ο password manager του browser σας συμπληρώνει αυτόματα το username και το password σας σε αθέατες φόρμες login. Προσοχή όμως: συμπληρώστε ένα ψεύτικο email και password για χάρη του ελέγχου και όχι κάποια πραγματικά στοιχεία login
Πηγή 1
🆂🅼🅰🆁🆃🅿🅷🅾🅽🅴🅶🆁🅴🅴🅲🅴 