2017/12/29

Web trackers podem obter emails e passwords via preenchimento automático do browser

Confiar no preenchimento automático do browser para introduzir os dados de login e password pode ser cómodo, mas infelizmente é algo que pode ser abusado por scripts de tracking para identificarem utilizadores, podendo ter acesso ao seu email/username e até à sua password.

A técnica é assustadoramente simples: assumindo que um utilizador tem os dados de acesso gravados no seu browser, bastará que um script no mesmo domínio crie um formulário invisível com os campos de username e password para que o browser alegremente os preencha sem dar qualquer indicação ao utilizador.

A situação é parcialmente minimizada pelo facto destes scripts só poderem ter acesso aos dados do utilizador referentes ao domínio onde estão alojados - ou seja, um script num site "duvidoso" não conseguirá obter os dados referentes a sites como o Facebook ou Gmail - mas por outro lado, não significa que os riscos não sejam reais, especialmente em sites que alojem conteúdo enviado pelos utilizadores.

Scripts de tracking de utilizadores estão a usar esta mesma técnica para obterem o username/email dos utilizadores, que assim passa a ser um identificador bastante mais fiável que os cookies (e que resiste mesmo à utilização em modo incógnito e à limpeza dos cookies), e também se torna preocupante saber que milhares de sites populares usam este tipo de táctica nos seus sites.

Os investigadores sugerem que os browsers dêem uma indicação adicional antes de fazerem qualquer tipo de preenchimento automático, que permita aos utilizadores detectarem este tipo de actividade estranha (ou simplesmente de não preencherem campos que não estejam visíveis na área que o utilizador esteja a ver). Mas até que algum browser implemente isso... será melhor estar bem alerta e evitar o uso do preenchimento automático do browser para efeitos de compras ou login.

2 comentários:

  1. Puxa-vida, esta doeu... :(
    Vamos lá ver se a respetiva correção é disponibilizada em breve.

    ResponderEliminar
  2. Já faz parte de um longo historial de vulnerabilidades relacionados com esse tipo de funcionalidade. Há uns anos era o Filezilla, tanbem já foi o próprio Firefox... Solução? Para coisas importantes NUNCA usar essa funcionalidade, e em cima disso nunca usar a mesma password para coisas importantes e coisas triviais. Por exemplo, a password de forums, sites de compras, etc deve ser sempre diferente da password dos homebankings, Gmail, etc...

    ResponderEliminar

[pub]