基于浏览器技术的密码管理软件出现漏洞，广告商可透过漏洞直接窃取使用者密码来追踪用户

2024-04-26 216

网络让大家变得平等，很多隐私容易曝光在上面，也容易被有心人暗中搜集。特别是密码这东西也是如此，为了保护自己的账号，网络上有太多地方需要设置密码，但密码一多就变得难以记住，加上密码通常需要一定的长度跟复杂度，这使得密码管理软件的重要性提升不少，但最近普林斯顿大学的讯息技术策略中心却警告，这些基于浏览器进行密码储存管理的软件都有被窃取密码的风险，容易被网络广告商利用这些密码追踪使用者行为：

▲密码管理软件可以方便的管理多组密码，但软件本身的漏洞却是个值得重视的问题（图片来源）

不论是 1Password 或是 Lastpass ，这些软件对于许多苦于密码管理的人来说是个解脱，他们利用简单的机制跟严密的安全密码来帮助使用者管理自己的网络密码。过去这些软件给人一种保险库的印象，两种软件的防护方式不尽相同，付的费用也不太一样，但功能大致上是相似的。

通常听到密码被窃时，一般都是骇客攻破了哪家企业的服务器，不过这边却是不一样的方式取得密码，漏洞主要的来源是基于浏览器技术的方式撷取密码。一般来说，我们如果在浏览器中开启“自动完成”或自动填写表单之类的功能时，这段过程的账号跟密码是会被侧录成功的。一旦被侧录并纪录起来后，就可以堂而皇之的破解这些密码管理软件的管理界面，取得使用者的浏览资讯跟账号密码：

▲多数浏览器都有这种储存密码的功能，但管理界面是否足以保护这些密码仍然有待商榷

这些追踪别人账号密码的网站中，不乏 Alexa 世界排名前 100 万的网站，透过这些方式入侵管理软件取得密码的 Script 会将资料传给这些有意查询资料的广告公司，让他们能够确实掌握到使用者的喜好，搜查的内容，常登入的网站与密码，达到追踪使用者足迹的目的：

▲只要透过浏览器的自动存取密码的机制，就可以偷走使用者密码（图片来源）

普林斯顿大学研究团队也设计了一个从浏览器自动填写功能中偷出资料的展示网页，只要随意输入电子邮件跟假密码，网页都会忠实的呈现刚才输入的资料，换句话说，一部分浏览器的自动填写功能帮助这些公司或许了使用者重要的隐私资讯，并且偷得神不知鬼不觉：

▲笔者使用 Chrome 浏览器进行这个 Demo 网页的测试，随意输入假信箱跟假密码，网页会轻易的把刚才输入的明码显示出来，这意味着有心人可以透过网页 Script 或类似的技巧取得这些可供登入的账号密码