Lösenordshanterare läcker data

Använder du den inbyggda lösenordshanteraren i din webbläsare så kan du råka ut för ett script som kan stjäla dina uppgifter medan du lagrar dem.

Du kommer till en butik, ombeds att registrera dig, fylla i dina uppgifter och sedan välja ett lösenord. Medan du gör detta så stjäls din inloggning med ett script på hemsidan.

Freedom to Thinker visar hur det går till.

We show how third-party scripts exploit browsers’ built-in login managers (also called password managers) to retrieve and exfiltrate user identifiers without user awareness. To the best of our knowledge, our research is the first to show that login managers are being abused by third-party scripts for the purposes of web tracking.

The underlying vulnerability of login managers to credential theft has been known for years. Much of the past discussion has focused on password exfiltration by malicious scripts through cross-site scripting (XSS) attacks. Fortunately, we haven’t found password theft on the 50,000 sites that we analyzed. Instead, we found tracking scripts embedded by the first party abusing the same technique to extract emails addresses for building tracking identifiers.

Freedom to Thinker har även satt upp en demosida som visar precis hur det går till och att det faktiskt fungerar.

Lagrade lösenord

Uppgifterna, e-postadress och lösenord, stjäls sedan med en dold inloggningsdialog. Uppgifterna fylls i och skickas automatiskt utan att användaren ser eller görs uppmärksam på det. På det sättet så kan exempelvis annonsörer kartlägga i detalj vilka webbsidor du besökt och vilka sidor du registrerat dig på. De script som nu hittats och analyserats, Adthink och Onaudience, används just för detta syfte, inte för att stjäla lösenord.