還在用瀏覽器內的“保存密碼”功能？妳的密碼可能被黑客記下來了

安全研究人員發現，營銷公司已經開始利用瀏覽器內置密碼管理器中已存在11年的壹個漏洞，來偷偷竊取妳的電子郵件地址，以便在不同的瀏覽器和設備上投放有針對性的廣告。

除了竊取電子郵件信息外，該漏洞還可能允許惡意用戶直接從瀏覽器內偷偷保存妳的用戶名和密碼，在不需要和妳交互的情況下。

每個主流的瀏覽器（Google Chrome, Mozilla Firefox, Opera or Microsoft Edge）都有壹個內置的密碼管理工具，它允許用戶保存自己的登錄信息並用於自動填充表單（網頁中負責數據采集功能的部分）。

圖/ Google Chrome 中的「密碼和表單」功能

這些瀏覽器內置的密碼管理器是為了方便用戶使用而設計的，因為它們會自動檢測網頁上的登錄表單，並相應地填寫在密碼管理器中保存的用戶名和密碼等憑證。

來自普林斯頓大學的壹個研究小組發現，有兩家營銷公司正在利用這種內置的管理器漏洞來追蹤Alexa（壹家專門發布網站世界排名的網站）上壹百萬個站點中的約1110個站點的訪問者。

研究人員發現這些網站上的第三方跟蹤腳本在網頁後臺註入了隱蔽的用戶登錄（窗口)，欺騙了基於瀏覽器的密碼管理器，使用保存的用戶信息自動填寫表單。

研究人員表示：壹般來說，登錄表單的自動填充功能不需要用戶做任何操作，所有的主流瀏覽器都會立即填充用戶名（通常是電子郵件地址），而不管表單的可見性如何。Chrome 不會自動填充密碼字段，直到用戶點擊或觸摸頁面上的任何位置。而其它瀏覽器不需要用戶交互來自動填寫密碼字段。

這些腳本主要是為跟蹤用戶而設計的，因此它們會檢測用戶名，並在使用MD5、SHA1和SHA256 算法進行散列（也被稱作「哈希」，將任意長度的輸入轉換成固定長度的輸出）處理之後將其發送給第三方服務器，然後將其用作特定用戶的持久ID，以便對用戶進行持續跟蹤。

因為用戶往往只使用壹個電子郵箱，它是獨壹無二的，而且幾乎不會更換，因此電子郵件地址是個很好的用於跟蹤用戶的標識符。無論是清除cookies、使用隱私瀏覽，還是更換設備，都不會阻止用戶被追蹤。

盡管研究人員已經發現了使用這種跟蹤腳本來獲取用戶名的市場營銷公司，但以相同方式收集用戶密碼的組織目前未被發現，它存在的可能性非常高。

然而，大多數第三方密碼管理器，如LastPass和1Password都不容易受到這種攻擊，因為它們避免了自動填充不可見的表單，並且需要用戶交互。

據極客公園測試，多款主流瀏覽器已經修復了這個漏洞，不過我們仍然可以看到圖中的演示。防止此類攻擊的最簡單方法是在瀏覽器上禁用自動填充功能。同時，極客公園建議用戶要定期修改密碼。

圖/ 攻擊演示圖（來自The Hacker News ）

其他的密碼管理工具也可能出現問題。今年3月，LastPass再次被爆出安全漏洞，谷歌Project Zero團隊的安全研究人員Tavis Ormandy發現，在LastPass Chrome和Firefox 4.1.42 版本插件中存在三個漏洞，攻擊者能利用漏洞從密碼管理器中提取密碼，還可以執行受害者設備上的命令，該漏洞存在於所有操作系統中。

LastPass並非唯壹被曝漏洞的密碼管理類應用，其他密碼管理器也出現過各種漏洞。沒有密碼管理器之前，我們記不住所有的密碼，而有了密碼管理器，它說不定會泄露了妳的密碼。