• Registrarse
  • Iniciar sesión


  • Resultados 1 al 4 de 4

    Opción de guardar contraseñas en navegadores permite “robar” datos de usuario

    ...

          
    1. #1
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.717

      Opción de guardar contraseñas en navegadores permite “robar” datos de usuario

      Opción de guardar contraseñas en navegadores permite “robar” datos de usuario



      Investigadores descubren que vulnerabilidad ha sido utilizada por compañías de marketing online.

      Una de las funciones más útiles de los navegadores web, como ser la de guardar y autocompletar contraseñas, se convirtió súbitamente en un problema: investigadores descubrieron que dos compañías de marketing están aprovechando esa función para hacer seguimiento y guardar direcciones de correo electrónico de los usuarios.

      ¿Cómo exactamente? Para entender el problema, hay que entender como funciona el autocompletado de contraseñas. Los datos guardados por el navegador son rellenados de forma automática cada vez que en una página aparecen los campos de usuario y contraseña, la mayoría de las veces sin que haya intervención del usuario.


      El problema ocurre entonces cuando un script de terceros inserta un formulario invisible en una página con los campos de usuario y contraseña; el navegador le entrega esos datos al script sin chistar y sin que el usuario sepa. Luego, los datos (normalmente, solo el correo) se envían a una base de datos externa y según los investigadores, “las direcciones de correo son únicas y persistentes, por lo que el hash con esa dirección es un excelente identificador para hacer rastreo”.

      En Freedom to Tinker indican que la vulnerabilidad ha existido desde hace 11 años porque “desde la perspectiva de seguridad, no hay vulnerabilidad alguna y todo funciona como debe funcionar”:

      La seguridad de la red descansa en el modelo Same Origin Policy (“Política del Mismo Origen“), que trata a los scripts y los contenidos de diferentes orígenes como desconfiables, por lo que el navegador impide que interfieran entre sí.

      Sin embargo, si un publisher inserta de forma directa en su sitio un código de terceros, en vez de aislarlo en un iframe, el script se trata como si viniera del mismo origen del publisher. Por consecuencia, tanto el publisher como los usuarios pierden las protecciones de la política del mismo origen y nada impide que el script extraiga información sensible.

      Lamentablemente, la inserción directa es el método común y por defecto, lo que explica que este tipo de vulnerabilidades existan.

      Los investigadores crearon una página de demostración donde explican de forma muy académica como funciona la vulnerabilidad. Todos los navegadores que usamos en nuestras pruebas capturaron de forma correcta al menos el correo electrónico y en el caso del nuevo Firefox (versión 57.0.1), incluso se capturó la contraseña.



      ¿Cómo evitar que esto siga pasando? Mientras alguien hace algo, se recomienda desactivar el autocompletado de contraseñas en los navegadores. Y además, los gestores de contraseñas externos como 1Password no sufren con la vulnerabilidad.

      La investigación concluyó que al menos 1.110 sitios utilizaban este tipo de scripts y que las compañías AdThink y OnAudience son las que más réditos sacan de esta práctica, alimentando sus bases de datos con la información (y la actividad) de quien sabe cuantos usuarios de internet.

      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Avatar de Aguilucho (AC)
      Registrado
      mar 2007
      Ubicación
      Dominicana
      Mensajes
      458

      Re: Opción de guardar contraseñas en navegadores permite “robar” datos de usuario

      11 años

      Gracias por la noticia J.A.

      Saludos!

    3. #3
      Usuario Avatar de julius37
      Registrado
      feb 2015
      Ubicación
      España
      Mensajes
      208

      Re: Opción de guardar contraseñas en navegadores permite “robar” datos de usuario

      en fin, vaya tela, hagamos lo que hagamos, siempre nos robaran algo, un asquito todo

      gracias por la info,

      saludos

    4. #4
      Usuario Avatar de dukegrigt
      Registrado
      ene 2018
      Ubicación
      Colombia
      Mensajes
      10

      Re: Opción de guardar contraseñas en navegadores permite “robar” datos de usuario

      Yo nunca guardo mis datos en Google Chrome