網路讓大家變得平等,很多隱私容易曝光在上面,也容易被有心人暗中蒐集。特別是密碼這東西也是如此,為了保護自己的帳號,網路上有太多地方需要設置密碼,但密碼一多就變得難以記住,加上密碼通常需要一定的長度跟複雜度,這使得密碼管理軟體的重要性提升不少,但最近普林斯頓大學的訊息技術策略中心卻警告,這些 基於瀏覽器 進行密碼儲存管理的軟體都有被竊取密碼的風險,容易被網路廣告商利用這些密碼追蹤使用者行為:
基於瀏覽器 技術的密碼管理軟體出現漏洞,廣告商可透過漏洞直接竊取使用者密碼來追蹤用戶
▲密碼管理軟體可以方便的管理多組密碼,但軟體本身的漏洞卻是個值得重視的問題(圖片來源

不論是 1Password 或是 Lastpass ,這些軟體對於許多苦於密碼管理的人來說是個解脫,他們利用簡單的機制跟嚴密的安全密碼來幫助使用者管理自己的網路密碼。過去這些軟體給人一種保險庫的印象,兩種軟體的防護方式不盡相同,付的費用也不太一樣,但功能大致上是相似的。

通常聽到密碼被竊時,一般都是駭客攻破了哪家企業的伺服器,不過這邊卻是不一樣的方式取得密碼,漏洞主要的來源是基於瀏覽器技術的方式擷取密碼。一般來說,我們如果在瀏覽器中開啟「自動完成」或自動填寫表單之類的功能時,這段過程的帳號跟密碼是會被側錄成功的。一旦被側錄並紀錄起來後,就可以堂而皇之的破解這些密碼管理軟體的管理界面,取得使用者的瀏覽資訊跟帳號密碼:
基於瀏覽器 技術的密碼管理軟體出現漏洞,廣告商可透過漏洞直接竊取使用者密碼來追蹤用戶
▲多數瀏覽器都有這種儲存密碼的功能,但管理介面是否足以保護這些密碼仍然有待商榷

這些追蹤別人帳號密碼的網站中,不乏 Alexa 世界排名前 100 萬的網站,透過這些方式入侵管理軟體取得密碼的 Script 會將資料傳給這些有意查詢資料的廣告公司,讓他們能夠確實掌握到使用者的喜好,搜查的內容,常登入的網站與密碼,達到追蹤使用者足跡的目的:
基於瀏覽器 技術的密碼管理軟體出現漏洞,廣告商可透過漏洞直接竊取使用者密碼來追蹤用戶
▲只要透過瀏覽器的自動存取密碼的機制,就可以偷走使用者密碼(圖片來源

普林斯頓大學研究團隊也設計了一個從瀏覽器自動填寫功能中偷出資料的展示網頁,只要隨意輸入電子郵件跟假密碼,網頁都會忠實的呈現剛才輸入的資料,換句話說,一部份瀏覽器的自動填寫功能幫助這些公司或許了使用者重要的隱私資訊,並且偷得神不知鬼不覺:
基於瀏覽器 技術的密碼管理軟體出現漏洞,廣告商可透過漏洞直接竊取使用者密碼來追蹤用戶
▲筆者使用 Chrome 瀏覽器進行這個 Demo 網頁的測試,隨意輸入假信箱跟假密碼,網頁會輕易的把剛才輸入的明碼顯示出來,這意味著有心人可以透過網頁 Script 或類似的技巧取得這些可供登入的帳號密碼

對此,該研究團對認為,這些密碼管理軟體應該時常更新,瀏覽器的自動填寫功能固然方便,但對於重要的隱私資訊來說,並不適合使用這樣的工具來紀錄。特別是密碼往往牽動使用者平時上網所使用的服務,若資訊落入到有心破壞的駭客手上,輕則帳號被竊,重則影響到親近的朋友,是一件不可不嚴肅面對的事。

消息來源

閱讀全文