安全研究人員發(fā)現(xiàn)，營銷公司已經(jīng)開始利用瀏覽器內(nèi)置密碼管理器中已存在 11 年的一個(gè)漏洞，來偷偷竊取你的電子郵件地址，以便在不同的瀏覽器和設(shè)備上投放有針對(duì)性的廣告。

除了竊取電子郵件信息外，該漏洞還可能允許惡意用戶直接從瀏覽器內(nèi)偷偷保存你的用戶名和密碼，在不需要和你交互的情況下。

每個(gè)主流的瀏覽器(Google Chrome， Mozilla Firefox， Opera or Microsoft Edge)都有一個(gè)內(nèi)置的密碼管理工具，它允許用戶保存自己的登錄信息并用于自動(dòng)填充表單(網(wǎng)頁中負(fù)責(zé)數(shù)據(jù)采集功能的部分)。

Google Chrome中的密碼和表單功能

這些瀏覽器內(nèi)置的密碼管理器是為了方便用戶使用而設(shè)計(jì)的，因?yàn)樗鼈儠?huì)自動(dòng)檢測網(wǎng)頁上的登錄表單，并相應(yīng)地填寫在密碼管理器中保存的用戶名和密碼等憑證。

來自普林斯頓大學(xué)的一個(gè)研究小組發(fā)現(xiàn)，有兩家營銷公司正在利用這種內(nèi)置的管理器漏洞來追蹤 Alexa(一家專門發(fā)布網(wǎng)站世界排名的網(wǎng)站)上一百萬個(gè)站點(diǎn)中的約 1110 個(gè)站點(diǎn)的訪問者。?研究人員發(fā)現(xiàn)這些網(wǎng)站上的第三方跟蹤腳本在網(wǎng)頁后臺(tái)注入了隱蔽的用戶登錄(窗口)，欺騙了基于瀏覽器的密碼管理器，使用保存的用戶信息自動(dòng)填寫表單。

研究人員表示：一般來說，登錄表單的自動(dòng)填充功能不需要用戶做任何操作，所有的主流瀏覽器都會(huì)立即填充用戶名(通常是電子郵件地址)，而不管表單的可見性如何。Chrome 不會(huì)自動(dòng)填充密碼字段，直到用戶點(diǎn)擊或觸摸頁面上的任何位置。而其它瀏覽器不需要用戶交互來自動(dòng)填寫密碼字段。

這些腳本主要是為跟蹤用戶而設(shè)計(jì)的，因此它們會(huì)檢測用戶名，并在使用 MD5、SHA1 和 SHA256 算法進(jìn)行散列(也被稱作「哈希」，將任意長度的輸入轉(zhuǎn)換成固定長度的輸出)處理之后將其發(fā)送給第三方服務(wù)器，然后將其用作特定用戶的持久 ID，以便對(duì)用戶進(jìn)行持續(xù)跟蹤。

因?yàn)橛脩敉皇褂靡粋€(gè)電子郵箱，它是獨(dú)一無二的，而且?guī)缀醪粫?huì)更換，因此電子郵件地址是個(gè)很好的用于跟蹤用戶的標(biāo)識(shí)符。無論是清除 cookies、使用隱私瀏覽，還是更換設(shè)備，都不會(huì)阻止用戶被追蹤。

盡管研究人員已經(jīng)發(fā)現(xiàn)了使用這種跟蹤腳本來獲取用戶名的市場營銷公司，但以相同方式收集用戶密碼的組織目前未被發(fā)現(xiàn)，它存在的可能性非常高。?然而，大多數(shù)第三方密碼管理器，如 LastPass 和 1Password 都不容易受到這種攻擊，因?yàn)樗鼈儽苊饬俗詣?dòng)填充不可見的表單，并且需要用戶交互。

據(jù)極客公園測試，多款主流瀏覽器已經(jīng)修復(fù)了這個(gè)漏洞，不過我們?nèi)匀豢梢钥吹綀D中的演示。防止此類攻擊的最簡單方法是在瀏覽器上禁用自動(dòng)填充功能。同時(shí)，極客公園建議用戶要定期修改密碼。

攻擊演示圖(來自 The Hacker News )

其他的密碼管理工具也可能出現(xiàn)問題。今年 3 月，LastPass 再次被爆出安全漏洞，谷歌 Project Zero 團(tuán)隊(duì)的安全研究人員 Tavis Ormandy 發(fā)現(xiàn)，在 LastPass Chrome 和 Firefox 4.1.42 版本插件中存在三個(gè)漏洞，攻擊者能利用漏洞從密碼管理器中提取密碼，還可以執(zhí)行受害者設(shè)備上的命令，該漏洞存在于所有操作系統(tǒng)中。

LastPass 并非唯一被曝漏洞的密碼管理類應(yīng)用，其他密碼管理器也出現(xiàn)過各種漏洞。沒有密碼管理器之前，我們記不住所有的密碼，而有了密碼管理器，它說不定會(huì)泄露了你的密碼。

不過，隨著「掃描二維碼登錄」、生物識(shí)別技術(shù)和分析用戶行為的技術(shù)已經(jīng)走進(jìn)了大家的生活，或許在未來的某一天，我們就可以告別令人討厭的密碼了。