سوءاستفاده از پسوردهای ذخیرهشده کاربران
اکثر مرورگرها دارای یک مدیر گذرواژهی داخلی هستند. مدیر گذرواژه ابزاری جهت ذخیرهسازی اطلاعات ورود در یک پایگاه داده و پرکردن فرمها یا ورود خودکار به سایتها با استفاده از اطلاعات موجود در همان پایگاه داده است. کاربرانی که قابلیت بیشتری میخواهند بر مدیران گذرواژه مانند LastPass،KeePass و DashLane تکیه میکنند. این مدیران گذرواژه قابلیتهایی را اضافه میکنند یا ممکن است به عنوان افزونههای مرورگر یا برنامههای میزکار نصب شوند.
تحقیقات شرکت Priceton در گزارش مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانهای) نشان میدهد ردیابهای وبی که بهتازگی کشف شدهاند برای ردیابی کاربران از مدیران گذرواژه سوءاستفاده میکنند. اسکریپتهای ردیابی از ضعف مدیران گذرواژه سوءاستفاده میکنند.
در این روش، ابتدا کاربر از یک وبسایت بازدید و یک حساب کاربری ثبت میکند و اطلاعات را در مدیر گذرواژه ذخیره میکند. اسکریپت ردیابی در پایگاههای وب شخص ثالث قرار داده شده و از طریق وبسایت اصلی اجرا میشود. وقتی کاربری از آن سایت بازدید میکند، فرمهای ورود به سایت به صورت مخفیانه توسط اسکریپت ردیابی، در سایت تزریق میشوند.
اگر سایت مطابقی در مدیر گذرواژه یافت شد، مدیر گذرواژهی مرورگر اطلاعات را در آن پر خواهد کرد. اسکریپت ردیابی نام کاربری را شناسایی، آن را درهمسازی (hash) میکند و برای ردیابی کاربر به کارگزار شخص ثالث ارسال میکند.
شکل زیر روش کار را نشان میدهد:
محققان دو اسکریپت متفاوت را که برای سواستفاده از مدیران گذرواژه طراحی شدهاند تا اطلاعات قابل شناسایی کاربران را دریافت کنند، مورد تجزیه و تحلیل قرار دادهاند. این دو اسکریپت AdThink و OnAudience نام دارند و فرمهای ورود مخفی را در صفحات وب تزریق میکنند تا دادههای نام کاربری را از مدیر گذرواژه مرورگر بازیابی کنند.
این اسکریپتها هشها را محاسبه و آنها را به کارگزار شخص ثالث ارسال میکنند. این هش برای ردیابی کاربران در سایتها بدون استفاده از کوکیها و دیگر فرمهای ردیابی کاربر استفاده میشود. ردیابی کاربر برای تبلیغات آنلاین کارایی فراوانی دارد. شرکتها از این اطلاعات برای ایجاد نمایههای کاربر که علایق کاربر را بر اساس تعدادی از عوامل، برای مثال بر اساس سایتهای بازدیدشده (ورزش، سرگرمی، سیاسی، علمی) شناسایی میکند، استفاده میکنند.
محققان بیش از ۵۰ هزار پایگاه وب را مورد تجزیه و تحلیل قرار دادهاند و در هیچ یک از آنها روبرداری از گذرواژه را مشاهده نکردند. آنها اسکریپتهای ردیابی را در ۱۱۰۰ پایگاه وب از یک میلیون پایگاه وب اول الکسا یافتند.
جهت حفاظت در برابر وب فرم ورود، کاربران میتوانند مسدودکنندههای محتوا را نصب کنند تا درخواستها به دامنههایی که به آنها اشاره شده است را مسدود کنند. روش دیگر غیر فعالسازی پر کردن خودکار دادههای ورود به سایت است.