Det finns några saker du kommer att höra i varje konversation om internetsäkerhet; en av de första skulle vara att använda en lösenordshanterare. Jag har sagt det, de flesta av mina kollegor har sagt det, och chansen är stor att du har sagt det samtidigt som du hjälper någon annan att sortera sätt att hålla sina data säkra och sunda. Det är fortfarande goda råd, men en ny studie från Princeton University: s Center for Information Technology Policy har funnit att lösenordshanteraren i din webbläsare du kan använda för att hålla din information privat också hjälper annonsföretag att spåra dig på nätet.
Det är ett skrämmande scenario från alla sidor, mest för att det inte kommer att vara lätt att fixa. Det som händer är inte att stjäla några referenser - ett annonsföretag vill inte ha ditt användarnamn och lösenord - men beteendet som ett lösenordshanterare använder utnyttjas på ett mycket enkelt sätt. Ett annonsföretag placerar ett skript på en sida (två som heter namn är AdThink och OnAudience) som fungerar som ett inloggningsformulär. Det är inte ett riktigt inloggningsformulär, eftersom det inte kommer att ansluta dig till någon tjänst, det är "bara" ett inloggningsskript.
När din lösenordshanterare ser ett inloggningsformulär anger det ett användarnamn. Testade webbläsare var: Firefox, Chrome, Internet Explorer, Edge och Safari. Chrome, till exempel, kommer inte att ange lösenordet förrän användaren interagerar med formuläret, men det anger automatiskt ett användarnamn. Det är bra eftersom det är allt manus behöver eller behöver. Andra webbläsare uppträdde på samma sätt som väntat.
När ditt användarnamn har matats in hashas det och ditt webbläsar-ID till en unik identifierare. Du behöver inte spara någonting på din dator eller telefon eftersom nästa gång du besöker en webbplats som använder samma annonsföretag får du ett annat skript som fungerar som inloggningsformulär och ditt användarnamn återigen anges. Uppgifterna jämförs med vad som finns på filen, och et voilà har en unik identifierare kopplats till dig och kan (och används) användas för att spåra dig på nätet. Och detta fungerar eftersom detta förväntas och "pålitligt" beteende. Förutom en färdplan över dina internetvanor innehåller data som har visat sig vara kopplade till denna UUID också webbläsarplugins, MIME-typer, skärmdimensioner, språk, information om tidszon, användaragentsträng, OS-information och CPU-information.
Uppsättningen heuristik som används för att bestämma vilka inloggningsformulär som ska fyllas i automatiskt varierar beroende på webbläsare, men det grundläggande kravet är att ett användarnamn och lösenordsfält är tillgängligt
Det fungerar på grund av det som kallas samma ursprungspolicy. När innehåll från två olika källor presenteras är det inte att lita på, men när en källa är betrodd kommer allt innehåll för den aktuella sessionen att lita (förtroende i denna mening innebär att du medvetet tittar på eller interagerar med innehållet). Du har riktat din webbläsare till en webbsida och interagerat med ett inloggningsformulär på den sidan, så det hela behandlas som förtroende medan du är på sidan. I detta fall inbäddades skriptet dock på en sida men kommer faktiskt från en annan källa och bör inte lita på förrän du har klickat eller interagerat på något sätt för att visa att du tänkte vara där.
Om de kränkande sidelementen var inbäddade i en iframe eller en annan metod som matchar källan och destinationen för data, fungerar inte automatiseringen av denna exploit (och ja, jag kallar det en exploit).
En lista över kända webbplatser som inbäddar skript som missbrukar inloggningshanteraren för spårning
Det finns en mycket god chans att webbutgivarna som använder annonstjänster som utnyttjar detta beteende inte har någon aning om vad som händer med deras användare. Även om det inte befriar dem från ansvar, är det i slutändan deras produkt används för att skörda data från användare utan deras kunskap, och det borde göra varje webbplatsadministratör berörd (och eventuellt väldigt irriterad). Som användare finns det inte mycket vi kan göra annat än att följa samma "inkognito" webbsökningssätt som används när vi vill hålla oss lite mer privata på webben. Det betyder att blockera alla skript, blockera alla annonser, spara inga data, acceptera inga kakor och i princip behandla varje webbsession som sin egen sandlåda.
Den enda riktiga fixen är att ändra lösenordshanterare genom webbläsaren - både inbyggda verktyg och tillägg eller andra plugins. Arvind Narayanan, en av professorerna som arbetade med projektet, uttrycker det kortfattat:
Det kommer inte att vara lätt att fixa, men det är värt att göra
Google, Microsoft, Apple och Mozilla formade webben alla till vad den är idag och de kan ändra saker för att möta nya problem. Förhoppningsvis finns det på den korta listan över förändringar.
