سوءاستفاده از پسوردهای ذخیره‌شده

ردیاب‌های وبی که به‌تازگی کشف شده‌اند برای ردیابی کاربران از مدیران گذرواژه سوءاستفاده می‌کنند. جهت حفاظت در برابر وب فرم ورود، کاربران می‌توانند مسدودکننده‌های محتوا را نصب یا پر کردن خودکار داده‌های ورود به سایت را غیرفعال کنند.

کد خبر: ۶۷۴۹۷

تاریخ انتشار:۲۹ دی ۱۳۹۶ - ۱۰:۵۵ - 19 January 2018

به گزارش روزپلاس؛اکثر مرورگرها دارای یک مدیر گذرواژه‌ی داخلی هستند. مدیر گذرواژه ابزاری جهت ذخیره‌سازی اطلاعات ورود در یک پایگاه داده و پرکردن فرم‌ها یا ورود خودکار به سایت‌ها با استفاده از اطلاعات موجود در همان پایگاه داده است. کاربرانی که قابلیت بیشتری می‌خواهند بر مدیران گذرواژه مانند LastPass،KeePass و DashLane تکیه می‌کنند. این مدیران گذرواژه قابلیت‌هایی را اضافه می‌کنند یا ممکن است به عنوان افزونه‌های مرورگر یا برنامه‌های میزکار نصب شوند.

تحقیقات شرکت Priceton در گزارش مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای) نشان می‌دهد ردیاب‌های وبی که به‌تازگی کشف شده‌اند برای ردیابی کاربران از مدیران گذرواژه سوءاستفاده می‌کنند. اسکریپت‌های ردیابی از ضعف مدیران گذرواژه سوءاستفاده می‌کنند.

در این روش، ابتدا کاربر از یک وب‌سایت بازدید و یک حساب کاربری ثبت می‌کند و اطلاعات را در مدیر گذرواژه ذخیره می‌کند. اسکریپت ردیابی در پایگاه‌های وب شخص ثالث قرار داده‌ شده و از طریق وب‌سایت اصلی اجرا می‌شود. وقتی کاربری از آن سایت بازدید می‌کند، فرم‌های ورود به سایت به صورت مخفیانه توسط اسکریپت ردیابی، در سایت تزریق می‌شوند.

اگر سایت مطابقی در مدیر گذرواژه یافت شد، مدیر گذرواژه‌ی مرورگر اطلاعات را در آن پر خواهد کرد. اسکریپت ردیابی نام کاربری را شناسایی، آن را درهم‌سازی (hash) می‌کند و برای ردیابی کاربر به کارگزار شخص ثالث ارسال می‌کند.

شکل زیر روش کار را نشان می‌دهد:

محققان دو اسکریپت متفاوت را که برای سواستفاده از مدیران گذرواژه طراحی شده‌اند تا اطلاعات قابل شناسایی کاربران را دریافت کنند، مورد تجزیه و تحلیل قرار داده‌اند. این دو اسکریپت AdThink و OnAudience نام دارند و فرم‌های ورود مخفی را در صفحات وب تزریق می‌کنند تا داده‌های نام کاربری را از مدیر گذرواژه مرورگر بازیابی کنند.

این اسکریپت‌ها هش‌ها را محاسبه و آنها را به کارگزار شخص ثالث ارسال می‌کنند. این هش برای ردیابی کاربران در سایت‌ها بدون استفاده از کوکی‌ها و دیگر فرم‌های ردیابی کاربر استفاده می‌شود. ردیابی کاربر برای تبلیغات آنلاین کارایی فراوانی دارد. شرکت‌ها از این اطلاعات برای ایجاد نمایه‌های کاربر که علایق کاربر را بر اساس تعدادی از عوامل، برای مثال بر اساس سایت‌های بازدیدشده (ورزش، سرگرمی، سیاسی، علمی) شناسایی می‌کند، استفاده می‌کنند.

محققان بیش از ۵۰ هزار پایگاه وب را مورد تجزیه و تحلیل قرار داده‌اند و در هیچ یک از ‌آنها روبرداری از گذرواژه را مشاهده‌ نکردند. آنها اسکریپت‌های ردیابی را در ۱۱۰۰ پایگاه وب از یک میلیون پایگاه وب اول الکسا یافتند.

جهت حفاظت در برابر وب فرم ورود، کاربران می‌توانند مسدودکننده‌های محتوا را نصب کنند تا درخواست‌ها به دامنه‌هایی که به آنها اشاره شده است را مسدود کنند. روش دیگر غیر فعال‌سازی پر کردن خودکار داده‌های ورود به سایت است.

ایسنا