سوءاستفاده از مدیران گذرواژه بااستفاده از ردیاب‌های وب

سوءاستفاده از مدیران گذرواژه بااستفاده از ردیاب‌های وب

تاریخ ایجاد

اکثر مرورگرها دارای یک مدیر گذرواژه‌ی داخلی هستند. مدیر گذرواژه ابزاری جهت ذخیره‌سازی اطلاعات ورود در یک پایگاه داده و پرکردن فرم‌ها یا ورود خودکار به سایت‌ها با استفاده از اطلاعات موجود در همان پایگاه داده است.
کاربرانی که قابلیت بیشتری می‌خواهند بر مدیران گذرواژه مانند LastPass، KeePass و DashLane تکیه می‌کنند. این مدیران گذرواژه قابلیت‌هایی را اضافه می‌کنند یا ممکن است به عنوان افزونه‌های مرورگر یا برنامه‌های میزکار نصب شوند.
تحقیقات مرکز Priceton نشان می‌دهد ردیاب‌های وبی که به‌تازگی کشف شده‌اند برای ردیابی کاربران از مدیران گذرواژه سوءاستفاده می‌کنند.
اسکریپت‌های ردیابی از ضعف مدیران گذرواژه سوءاستفاده می‌کنند. اتفاقی که می‌افتد به شرح زیر است:

  • کاربر از یک وب‌سایت بازدید می‌کند، یک حساب کاربری ثبت می‌کند و اطلاعات را درمدیرگذرواژه ذخیره می‌سازد.
  • اسکریپت ردیابی در پایگاه‌های وب شخص ثالث قرار داده شده و از طریق وب‌سایت اصلی اجرا می‌شود. وقتی کاربری از آن سایت بازدید می‌کند، فرم‌های ورود به سایت به صورت مخفیانه توسط اسکریپت ردیابی، در سایت تزریق می‌شوند.
  • اگر سایت مطابقی در مدیر گذرواژه یافت شد، مدیر گذرواژه‌ی مرورگر اطلاعات را در آن پر خواهد کرد.
  • اسکریپت ردیابی نام کاربری را شناسایی، آن را درهم‌سازی (hash) می‌کند و برای ردیابی کاربر به کارگزار شخص ثالث ارسال می‌کند.

دانلود پیوست

برچسب‌ها