营销公司利用浏览器内置密码管理器中已存在11年一个漏洞

安全研究人员发现，营销公司已开始利用浏览器内置密码管理器中存在 11 年历史的缺陷来偷偷窃取您的电子邮件地址，以跨浏览器和设备投放有针对性的广告。

除了窃取电子邮件信息外，该漏洞还允许恶意用户直接从浏览器中秘密保存您的用户名和密码，而无需与您互动。

每个主要浏览器（、、Opera 或 Edge）都有一个内置的密码管理工具，允许用户保存他们的登录信息并使用它来自动填写表单（网页中负责数据收集功能的部分）。

图/中的“密码和表单”功能

这些浏览器内置的密码管理器专为方便用户而设计，因为它们会自动检测网页上的登录表单并相应地填写密码管理器中保存的用户名和密码等凭据。

普林斯顿大学的一个研究小组发现，两家营销公司正在利用这个内置的管理器漏洞来跟踪对 Alexa 上 100 万个网站中约 1110 个网站的访问，Alexa 是一个发布网站世界排名的网站。经过。

研究人员发现，这些网站上的第三方跟踪脚本会在网页背景中注入隐蔽的用户登录（窗口），诱使基于浏览器的密码管理器自动填写包含已保存用户信息的表单。

“一般来说，登录表单的自动填充功能不需要用户采取任何行动，所有主要浏览器都会立即填写用户名（通常是电子邮件地址），而不管表单的可见性，”研究人员说。在用户单击或触摸页面上的任何位置之前，不会自动填充密码字段。其他浏览器不需要用户交互来自动填写密码字段。

这些脚本主要用于跟踪用户，因此他们检测用户名并使用 MD5、SHA1 和算法（也称为“散列”）对其进行哈希处理，将任意长度的输入转换为固定长度的输出）进行处理并发送给第三方-party 服务器，然后用作特定用户的持久 ID，以允许对用户进行持续跟踪。

由于用户往往只使用一个唯一且很少更改的电子邮件地址，因此电子邮件地址是跟踪用户的良好标识符。无论是清除、使用隐私浏览还是更换设备，都无法阻止用户被跟踪。

尽管研究人员已经确定了使用此跟踪脚本获取用户名的营销公司，但目前尚未发现以相同方式获取用户密码的组织，而且极有可能。

但是谷歌导出保存的账号密码，大多数第三方密码管理器（例如和）不容易受到这种攻击，因为它们避免自动填充不可见的表单并需要用户交互。

根据极客公园测试，几款主流浏览器已经修复了该漏洞，但我们仍然可以看到图片中的demo。防止此类攻击的最简单方法是在浏览器上禁用自动填充。同时，极客公园建议用户定期修改密码。

图/攻击演示图（来自The News）

其他密码管理工具也可能存在问题。今年3月，安全漏洞再次被曝光。谷歌零团队安全研究员塔维斯发现该插件4.1.42版本存在三个漏洞。攻击者可以利用该漏洞从密码管理器中提取密码并在设备上执行受害者或命令，该漏洞存在于所有操作系统中。

它不是唯一被暴露漏洞的密码管理应用程序，其他密码管理器也出现了各种漏洞。在没有密码管理器之前，我们无法记住所有密码，但是有了密码管理器，它可能会泄露您的密码。

然而，随着“扫码登录”谷歌导出保存的账号密码，生物识别技术和分析用户行为的技术已经走进了每个人的生活，或许在未来的某一天，我们就能告别烦人的密码。