據(jù)外媒 12 月 27 日報道，普林斯頓信息技術(shù)政策中心（ CTTP ）發(fā)現(xiàn)了利用瀏覽器“自動填充”漏洞竊取用戶信息的最新玩法。目前，所有瀏覽器的登錄管理器都存在著一種設(shè)計缺陷 ——登錄管理器允許瀏覽器記住用戶在每個特定網(wǎng)站上的用戶名和密碼，并在用戶再次訪問該網(wǎng)站時自動將其插入到登錄表單。正是因為登錄管理器的這種工作方式，網(wǎng)絡(luò)追蹤者可以在加載追蹤腳本的網(wǎng)站上嵌入隱藏的登錄表單，以便竊取用戶信息。

  普林斯頓隱私專家警告說，廣告和分析公司利用登錄管理器的漏洞設(shè)置隱藏的登錄字段秘密提取網(wǎng)站用戶名，并綁定未經(jīng)身份驗證的用戶的個人資料或電子郵件訪問該網(wǎng)站。 安全隱私專家稱這種漏洞已存在十多年，僅在 XSS（跨站點腳本）攻擊期間搜集用戶信息。不過目前惡意人士已設(shè)計了新的攻擊方式。

  據(jù)悉，普林斯頓研究人員于近期發(fā)現(xiàn)了兩種利用隱藏登錄表單收集登錄信息的網(wǎng)絡(luò)跟蹤服務(wù)：Adthink (audienceinsights.net) 、 OnAudience (behavioralengine.com)。這兩種跟蹤服務(wù)利用其腳本搜集了在 Alexa Top 100 萬網(wǎng)站列表中發(fā)現(xiàn)的 1110 個網(wǎng)站的登錄信息。目前登錄信息只包含了用戶名或電子郵件地址 ，并沒有涉及到重要的密碼信息。

  鑒于這種情況，廣告公司和分析公司通過竊取的用戶名/電子郵件創(chuàng)建一個散列，并將該散列與網(wǎng)站訪問者的現(xiàn)有廣告配置文件綁定。研究人員介紹，電子郵件地址的散列是一個良好的跟蹤標(biāo)識符。因為電子郵件地址是唯一的、持久的，并且用戶的電子郵件地址幾乎不會改變，清除

  cookie、使用隱私瀏覽模式、或者切換設(shè)備都不會阻止跟蹤。網(wǎng)絡(luò)追蹤者可以通過電子郵件地址的散列來連接分散在不同瀏覽器、設(shè)備和移動應(yīng)用程序上的在線配置文件。此外，該散列還可以作為 cookie 清除之前和之后瀏覽歷史記錄配置文件之間的鏈接。

  知情人士透露，除了 Brave 瀏覽器之外，其他主流瀏覽器似乎都容易受到這種類型的攻擊，例如基于 Chromium 的瀏覽器在用戶點擊頁面時披露用戶密碼。研究人員目前已提出解決方法：廠商將瀏覽器設(shè)置為僅在用戶與實際需要登錄的字段交互時再自動填充即可。

  根據(jù)普林斯頓的說法，秘密收集用戶數(shù)據(jù)不僅限于侵犯了個人用戶的隱私，實際上可能也違反了歐盟即將實行的 GDPR 法規(guī)，即使有些網(wǎng)站所有者并不清楚其行為屬于跟蹤范疇。