據(jù)外媒 12 月 27 日?qǐng)?bào)道，普林斯頓信息技術(shù)政策中心（ CTTP ）發(fā)現(xiàn)了利用瀏覽器“自動(dòng)填充”漏洞竊取用戶信息的最新玩法。目前，所有瀏覽器的登錄管理器都存在著一種設(shè)計(jì)缺陷 ——登錄管理器允許瀏覽器記住用戶在每個(gè)特定網(wǎng)站上的用戶名和密碼，并在用戶再次訪問(wèn)該網(wǎng)站時(shí)自動(dòng)將其插入到登錄表單。正是因?yàn)榈卿浌芾砥鞯倪@種工作方式，網(wǎng)絡(luò)追蹤者可以在加載追蹤腳本的網(wǎng)站上嵌入隱藏的登錄表單，以便竊取用戶信息。

  普林斯頓隱私專家警告說(shuō)，廣告和分析公司利用登錄管理器的漏洞設(shè)置隱藏的登錄字段秘密提取網(wǎng)站用戶名，并綁定未經(jīng)身份驗(yàn)證的用戶的個(gè)人資料或電子郵件訪問(wèn)該網(wǎng)站。 安全隱私專家稱這種漏洞已存在十多年，僅在 XSS（跨站點(diǎn)腳本）攻擊期間搜集用戶信息。不過(guò)目前惡意人士已設(shè)計(jì)了新的攻擊方式。

  據(jù)悉，普林斯頓研究人員于近期發(fā)現(xiàn)了兩種利用隱藏登錄表單收集登錄信息的網(wǎng)絡(luò)跟蹤服務(wù)：Adthink (audienceinsights.net) 、 OnAudience (behavioralengine.com)。這兩種跟蹤服務(wù)利用其腳本搜集了在 Alexa Top 100 萬(wàn)網(wǎng)站列表中發(fā)現(xiàn)的 1110 個(gè)網(wǎng)站的登錄信息。目前登錄信息只包含了用戶名或電子郵件地址 ，并沒(méi)有涉及到重要的密碼信息。

  鑒于這種情況，廣告公司和分析公司通過(guò)竊取的用戶名/電子郵件創(chuàng)建一個(gè)散列，并將該散列與網(wǎng)站訪問(wèn)者的現(xiàn)有廣告配置文件綁定。研究人員介紹，電子郵件地址的散列是一個(gè)良好的跟蹤標(biāo)識(shí)符。因?yàn)殡娮余]件地址是唯一的、持久的，并且用戶的電子郵件地址幾乎不會(huì)改變，清除

  cookie、使用隱私瀏覽模式、或者切換設(shè)備都不會(huì)阻止跟蹤。網(wǎng)絡(luò)追蹤者可以通過(guò)電子郵件地址的散列來(lái)連接分散在不同瀏覽器、設(shè)備和移動(dòng)應(yīng)用程序上的在線配置文件。此外，該散列還可以作為 cookie 清除之前和之后瀏覽歷史記錄配置文件之間的鏈接。

  知情人士透露，除了 Brave 瀏覽器之外，其他主流瀏覽器似乎都容易受到這種類型的攻擊，例如基于 Chromium 的瀏覽器在用戶點(diǎn)擊頁(yè)面時(shí)披露用戶密碼。研究人員目前已提出解決方法：廠商將瀏覽器設(shè)置為僅在用戶與實(shí)際需要登錄的字段交互時(shí)再自動(dòng)填充即可。

  根據(jù)普林斯頓的說(shuō)法，秘密收集用戶數(shù)據(jù)不僅限于侵犯了個(gè)人用戶的隱私，實(shí)際上可能也違反了歐盟即將實(shí)行的 GDPR 法規(guī)，即使有些網(wǎng)站所有者并不清楚其行為屬于跟蹤范疇。