Greška omogućava krađu lozinki u Chrome, Firefox, Opera i Edge

Istraživači iz Princteon-ovog Centra za informacione tehnologije otkrili su grešku koju aktivno eksploatišu barem dvije marketinške kompanije. Otkriveni rezultati su objavljeni u istraživačkom radu koji možete pogledati ovdje.

Istraživači su otkrili da kompanije AdThink i OnAudience eksploatišu grešku u ugrađenim menadžerima lozinki u popularnim veb čitačima kao što su Chrome, Firefox, Opera i Edge kako bi ukrali e-mail adrese koje se koriste za marketing.

Ove kompanije u veb  stranice koje sadrže njihove reklame ubacuju skrivene forme za prijavljivanje koje veb čitači automatski popune. Samo ove dvije kompanije kontrolišu 1 110 veb stranica sa Alexa-ine top liste od milion najpopularnijih veb stranica.

Menadžeri kredencijala su dizajnirani kako bi olakšali korišćenje i relativno slabo su zaštićeni. Većina menadžera će automatski popuniti prijavne forme bez interakcije korisnika bez obzira da li su forme vidljive ili ne.

Kako je korisničko ime na većini veb stranica e-mail adresa marketinške kompanije dobija jedinstven identifikator korisnika. Za razliku od cookie-a koji se brišu i uređaja koji se mijenjaju korisnici rijetko kad mijenjaju e-mail adrese što ih čini dobrim trajnim jedinstvenim identifikatorom.

Isti princip se može iskoristiti za krađu lozinki.

Istraživači navode da je u slučaju Chrome-a potrebno da korisnik klikne nešto na stranci kako bi se forma automatski popunila, dok za ostale testirane veb čitače tvrde da nije potrebna interakcija.

Od ovakvog napada zaštićeni su veb čitači koji koriste menadžere lozinki koji zahtijevaju interakciju kao što su popularni programi LastPass i 1Password.

Izvor:thehackernews.com