Los investigadores del Center for Information Technology Policy de la Universidad de Princeton que hace poco más de un mes revelaron que algunas de las webs más importantes del mundo graban lo que se hace en ellas, han publicado una segunda entrega de su serie sobre extracciones de información personal.
Esta vez ponen el acento sobre el preocupante aprovechamiento de una vulnerabilidad conocida de los administradores de contraseñas integrados en navegadores.
Esta es, según sus afirmaciones, la primera investigación en demostrar que los gestores de inicio de sesión están siendo explotados por rastreadores web de terceros con el propósito de mejorar sus seguimientos recuperando y filtrando identificadores de usuarios sin que ellos se den cuenta.
Las averiguaciones de estos expertos deben advertirnos sobre la posibilidad de que compañías de publicidad y análisis pueden estar extrayendo secretamente los nombres de usuario de los navegadores empleando para ellos campos de inicio de sesión ocultos, relacionando a los usuarios no autentificados que visitan un portal con sus cuentas en ese lugar indicó el sitio web Genbeta
Una vulnerabilidad conocida y reaprovechada
La vulnerabilidad de estos administradores de credenciales tiene al menos un lustro, existiendo artículos y comentarios en foroshablando sobre ella desde 2012, cuando esencialmente preocupaba la posibilidad de una extracción de contraseñas en ataques XSS, pasando por alto el problema de privacidad subyacente.
Porque de los 50.000 sitios analizados por los investigadores de Princeton, ninguno robaba contraseñas mediante este método, pero sí extraen direcciones de correo electrónico para construir identificaciones de seguimiento con las que rastrear a sus usuarios.
El método que siguen resulta sencillo. Partiendo de la base de que un usuario ha rellenado un formulario de inicio de sesión de una web y ha pedido al navegador que guarde los datos, en otras páginas de esa misma web un script de seguimiento de terceros incrusta un formulario de inicio de sesión invisible que se completa automáticamente por el gestor del navegador. Con el dato del usuario, un apodo o una dirección de corre electrónico, se crea un hash que se puede vincular con él.
Cabe destacar que esto solamente sucede dentro de un dominio concreto con las credenciales guardadas para ese dominio concreto, por lo que no es posible acceder a las credenciales guardadas de otros sitios web.
«La eliminación de cookies, el uso del modo de navegación privada o el cambio de dispositivos no impedirá el seguimiento» y, además, «se puede utilizar para conectar las piezas de un perfil en línea dispersas por diferentes navegadores, dispositivos y aplicaciones móviles», aseguran los investigadores.
Cualquiera puede comprobar la vulnerabilidad, introduciendo y haciendo recordar al navegador credenciales falsas, a través de esta página de demostracióncreada por los especialistas en privacidad del Center for Information Technology Policy de la Universidad de Princeton.
Gracias a la página de pruebas hemos podido comprobar cómo Chrome, Firefox, Edge y Opera parecen ser vulnerables a este tipo de extracción de informaciónmediante formulario oculto. Sin embargo, cabe señalar que los dos navegadores basados en Chromium, Chrome y Opera, únicamente brindan al rastreador web el dato de la contraseña si se realiza algún clic en la página.
De momento, los Investigadoras
solamente han detectado esta práctica en dos servicios encontrados en 1.110 sitios de la lista del millón de sitios webs más importantes según Alexa.
