Browser zu arglos
Autofill schuld: Passwort-Manager hinterlassen Datenspuren
Je nachdem, auf welchen Passwort-Manager ihr bei euren Ausflügen im Netz zugreift, können euch Werbeanbieter möglicherweise über mehrere Webseiten hinweg tracken, zweifelsfrei identifizieren und bestimmten Nutzer-Accounts zuordnen.
Dies legen aktuelle Forschungsergebnisse des „Princeton Center for Information Technology Policy“ nahe.
Web-Tracker nutzen Passwort-Manager in Browsern aus
Unter der Überschrift „Web-Tracker nutzen Passwort-Manager in Browsern aus“ hat dieses nun eine Tracking-Strategie der Werbe-Industrie beleuchtet, die die Autofill-Funktion verschiedener Passwort-Manager ausnutzt.
Vorab: Ihr seid „verwundbar“, wenn euer Passwort-Manager angezeigte Login-Felder automatisch mit euren Kontodaten füllt und nur noch auf den Befehl zum Absenden des Formulars wartet.
So laden immer mehr Werbeanbieter nicht nur ihre Banner, sondern auch versteckte Login-Formulare populärer Webseiten. Sobald diese von eurem Passwort-Manager automatisch befüllt wurden, lesen kleine Javascript-Schnipsel die Informationen (zumeist den Nutzernamen oder die E-Mail-Adresse) wieder aus und können euch so eine spezifische ID zuordnen, die euch über mehrere Webseiten hinweg im Werbenetzwerk des Anbieters identifizieren kann.
Den Angriff bzw. eure Verwundbarkeit könnt ihr auf dieser Demo-Seite testen oder auch einen Blick auf dieses Video werfen.
Built-in login managers have a positive effect on web security: they curtail password reuse by making it easy to use complex passwords, and they make phishing attacks are harder to mount. Yet, browser vendors should reconsider allowing stealthy access to autofilled login forms in the light of our findings. More generally, for every browser feature, browser developers and standard bodies should consider how it might be abused by untrustworthy third-party scripts.
1Password, das Unternehmen hat die Forschungsergebnisse in einem eigenen Blog-Eintrag kommentiert, verzichtet grundsätzliche auf das automatische Ausfüllen von Passwort-Feldern.