酷玩三张牌外挂

安全資訊

公司新聞
安全資訊
IT資訊
 
    電話:027-87367829
    郵箱:support@hbzw.net

  地址:

湖北省武漢市中北路1號楚天都市花園B座16樓
   
   
安全資訊

您的當前位置:首頁 > 安全資訊

 
還在用瀏覽器內的保存密碼?可能被黑客記下來了
 

安全研究人員發現,營銷公司已經開始利用瀏覽器內置密碼管理器中已存在 11 年的一個漏洞,來偷偷竊取你的電子郵件地址,以便在不同的瀏覽器和設備上投放有針對性的廣告。

除了竊取電子郵件信息外,該漏洞還可能允許惡意用戶直接從瀏覽器內偷偷保存你的用戶名和密碼,在不需要和你交互的情況下。

8547-1P105132941391.jpg

每個主流的瀏覽器(Google Chrome, Mozilla Firefox, Opera or Microsoft Edge)都有一個內置的密碼管理工具,它允許用戶保存自己的登錄信息并用于自動填充表單(網頁中負責數據采集功能的部分)。

8547-1P105133022X1.png

Google Chrome中的密碼和表單功能

這些瀏覽器內置的密碼管理器是為了方便用戶使用而設計的,因為它們會自動檢測網頁上的登錄表單,并相應地填寫在密碼管理器中保存的用戶名和密碼等憑證。

來自普林斯頓大學的一個研究小組發現,有兩家營銷公司正在利用這種內置的管理器漏洞來追蹤 Alexa(一家專門發布網站世界排名的網站)上一百萬個站點中的約 1110 個站點的訪問者。 研究人員發現這些網站上的第三方跟蹤腳本在網頁后臺注入了隱蔽的用戶登錄(窗口),欺騙了基于瀏覽器的密碼管理器,使用保存的用戶信息自動填寫表單。

研究人員表示:一般來說,登錄表單的自動填充功能不需要用戶做任何操作,所有的主流瀏覽器都會立即填充用戶名(通常是電子郵件地址),而不管表單的可見性如何。Chrome 不會自動填充密碼字段,直到用戶點擊或觸摸頁面上的任何位置。而其它瀏覽器不需要用戶交互來自動填寫密碼字段。

這些腳本主要是為跟蹤用戶而設計的,因此它們會檢測用戶名,并在使用 MD5、SHA1 和 SHA256 算法進行散列(也被稱作「哈希」,將任意長度的輸入轉換成固定長度的輸出)處理之后將其發送給第三方服務器,然后將其用作特定用戶的持久 ID,以便對用戶進行持續跟蹤。

因為用戶往往只使用一個電子郵箱,它是獨一無二的,而且幾乎不會更換,因此電子郵件地址是個很好的用于跟蹤用戶的標識符。無論是清除 cookies、使用隱私瀏覽,還是更換設備,都不會阻止用戶被追蹤。

盡管研究人員已經發現了使用這種跟蹤腳本來獲取用戶名的市場營銷公司,但以相同方式收集用戶密碼的組織目前未被發現,它存在的可能性非常高。 然而,大多數第三方密碼管理器,如 LastPass 和 1Password 都不容易受到這種攻擊,因為它們避免了自動填充不可見的表單,并且需要用戶交互。

據極客公園測試,多款主流瀏覽器已經修復了這個漏洞,不過我們仍然可以看到圖中的演示。防止此類攻擊的最簡單方法是在瀏覽器上禁用自動填充功能。同時,極客公園建議用戶要定期修改密碼。

8547-1P10513305MS.gif

攻擊演示圖(來自 The Hacker News )

其他的密碼管理工具也可能出現問題。今年 3 月,LastPass 再次被爆出安全漏洞,谷歌 Project Zero 團隊的安全研究人員 Tavis Ormandy 發現,在 LastPass Chrome 和 Firefox 4.1.42 版本插件中存在三個漏洞,攻擊者能利用漏洞從密碼管理器中提取密碼,還可以執行受害者設備上的命令,該漏洞存在于所有操作系統中。

LastPass 并非唯一被曝漏洞的密碼管理類應用,其他密碼管理器也出現過各種漏洞。沒有密碼管理器之前,我們記不住所有的密碼,而有了密碼管理器,它說不定會泄露了你的密碼。

不過,隨著「掃描二維碼登錄」、生物識別技術和分析用戶行為的技術已經走進了大家的生活,或許在未來的某一天,我們就可以告別令人討厭的密碼了。

三张牌的游戏 怎样才能帮支付宝赚钱吗 安徽11选5组选走势图 怎样安装程序麻将机 时时彩组三组六同时买 新疆25选7 128娱乐 吉林时时票空 聚友贵州麻将下载安装 国标麻将理论最大番 新浪体育nba 重庆时时后三基本走势图 长沙开小超市赚钱 辽宁快乐12任选开奖基本走势图 1zplay电竞比分直播 彩客网比分直播 时时彩全天在线