Los gestores de contraseñas de los navegadores no son seguros
- Vulnerabilidades
Detectan cómo algunas empresas de marketing están utilizando un fallo en los gestores de contraseñas para extraer información.
Puede que almacenar contraseñas en los navegadores, para no tener que logearte cada vez que accedes a un site, no sea tan seguro como parece. Al menos es lo que ha puesto de manifiesto una investigación del Center for Information Technology Policy de Princento, que asegura que empresas de publicidad estarían robando información de los gestores de contraseñas de los navegadores sin que los usuarios lo sepan.
También puedes leer... El riesgo de los altavoces inteligentes Los cinco grandes mitos de las Brechas de Seguridad |
Algunas compañías de marketing han empezado a explotar un fallo que tiene más de diez años, inicialmente para robar información como la dirección de correo, pero que también permitiría robar los nombres de usuario y contraseñas almacenadas.
Explican los investigadores de navegadores como Google Chrome, Mozilla Firefox, Opera o Microsoft Edge, incorporan una herramienta de gestión de contraseñas que no sólo te permite acceder a sites sin tener que logearte cada vez, sino el autocompletado de formularios. Al menos dos empresas de marketing, AdThink y OnAudience, han sido pilladas con las manos en la masa explotando el fallo para rastrear a los visitantes de alrededor de 1,110 de los mejores sitios de Alexa a través de Internet.
Los investigadores explican que ciertos scripts están diseñados para robar información identificable de los administradores de contraseñas basados en el navegador. ¿Cómo funcionan? Primero, un usuario llena un formulario de inicio de sesión en la página y le pide al navegador que guarde el inicio de sesión. El script de seguimiento no está presente en la página de inicio de sesión. Luego, el usuario visita otra página en el mismo sitio web que incluye el script de seguimiento de terceros. La secuencia de comandos de seguimiento inserta un formulario de inicio de sesión invisible, que se completa automáticamente por el administrador de inicio de sesión del navegador. El script de terceros recupera la dirección de correo electrónico del usuario leyendo el formulario rellenado y envía los hashes de correo electrónico a servidores de terceros.
Los scripts luego envían hashes de direcciones de correo electrónico a terceros, y pueden usar esa información para rastrear usuarios. El problema grave es que la recolección de contraseñas usando la misma tecnología puede ser el siguiente paso.