广告脚本使用浏览器内置密码管理器跨域追踪用户
原本密码管理器是用来帮助用户改善在线安全性的,但目前竟然有广告网络利用密码管理器进行跨站点追踪。
已经被利用的浏览器包括最流行的谷歌浏览器和火狐浏览器,使用非浏览器内置的密码管理器则不会受影响。
如何利用密码管理器追踪用户:
浏览器内置的密码管理器可以帮助用户保存对应网站密码,同时打开网站时可以自动填充数据无需再次填写。
美国普林斯顿信息政策中心的安全研究人员则发现至少两个广告追踪网络的脚本利用密码管理器来追踪用户。
首先在用户访问的某些网站上加载上述广告网络的追踪脚本,接着脚本会创建隐藏登录表单诱导浏览器填充。
当浏览器填充数据后广告脚本会以此生成特定用户的ID,当用户再打开同样含有该脚本的站点时即可被标记。
特定ID则会被发送会消费者数据代理网络 Axciom 公司,这样即可对用户完成跨站点追踪以便投放精准广告。
至少目前还不会涉及安全问题:
由于广告脚本创建的是隐藏登录表单虽被填充数据但用户不点击登录按钮的话至少密码也不会被上传服务器。
因此至少现在来看这些广告网络脚本除了跨域追踪用户外目前还不会牵涉到用户账号密码数据的安全性问题。
广告网络的追踪技术向来要远高于广告拦截技术,例如此前还有使用笔记本电量、帆布指纹识别等追踪用户。
目前尚不清楚谷歌浏览器和火狐浏览器是否会主动应对此类追踪,不过按理说火狐浏览器肯定会在后续拦截。