标签: 浏览器

普林斯顿信息中心( CTTP )发现浏览器“自动填充”漏洞最新玩法

据外媒 12 月 27 日报道,普林斯顿信息技术政策中心( CTTP )发现了利用浏览器“自动填充”漏洞窃取用户信息的最新玩法。目前,所有浏览器的登录管理器都存在着一种设计缺陷 ——登录管理器允许浏览器记住用户在每个特定网站上的用户名和密码,并在用户再次访问该网站时自动将其插入到登录表单。正是因为登录管理器的这种工作方式,网络追踪者可以在加载追踪脚本的网站上嵌入隐藏的登录表单,以便窃取用户信息。 普林斯顿隐私专家警告说,广告和分析公司利用登录管理器的漏洞设置隐藏的登录字段秘密提取网站用户名,并绑定未经身份验证的用户的个人资料或电子邮件访问该网站。 安全隐私专家称这种漏洞已存在十多年,仅在 XSS(跨站点脚本)攻击期间搜集用户信息。不过目前恶意人士已设计了新的攻击方式。 据悉,普林斯顿研究人员于近期发现了两种利用隐藏登录表单收集登录信息的网络跟踪服务:Adthink (audienceinsights.net) 、 OnAudience (behavioralengine.com)。这两种跟踪服务利用其脚本搜集了在 Alexa Top 100 万网站列表中发现的 1110 个网站的登录信息。目前登录信息只包含了用户名或电子邮件地址 ,并没有涉及到重要的密码信息。 鉴于这种情况,广告公司和分析公司通过窃取的用户名/电子邮件创建一个散列,并将该散列与网站访问者的现有广告配置文件绑定。研究人员介绍,电子邮件地址的散列是一个良好的跟踪标识符。因为电子邮件地址是唯一的、持久的,并且用户的电子邮件地址几乎不会改变,清除 cookie、使用隐私浏览模式、或者切换设备都不会阻止跟踪。网络追踪者可以通过电子邮件地址的散列来连接分散在不同浏览器、设备和移动应用程序上的在线配置文件。此外,该散列还可以作为 cookie 清除之前和之后浏览历史记录配置文件之间的链接。 知情人士透露,除了 Brave 浏览器之外,其他主流浏览器似乎都容易受到这种类型的攻击,例如基于 Chromium 的浏览器在用户点击页面时披露用户密码。研究人员目前已提出解决方法:厂商将浏览器设置为仅在用户与实际需要登录的字段交互时再自动填充即可。 根据普林斯顿的说法,秘密收集用户数据不仅限于侵犯了个人用户的隐私,实际上可能也违反了欧盟即将实行的 GDPR 法规,即使有些网站所有者并不清楚其行为属于跟踪范畴。 相关阅读 普林斯顿信息技术政策中心(CITP)提供的演示页面 消息来源:Bleeping Computer,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

手机传感器惹祸,黑客可收集 PIN 等多种用户信息

据外媒 11 日报道,英国纽卡斯尔大学一个研究团队发表论文,称智能手机中的传感器可能泄露用户隐私信息。利用智能手机传感器收集的数据,研究团队能破解 4 位的 PIN ( 个人识别号码 ),一次尝试准确度可达 70% ,第 5 次尝试准确度可达 100%。虽然部分应用会提醒用户将访问哪些传感器,但并非所有应用都会向用户提示相关信息——用户更是无从了解应用获取传感器数据的频次。 论文第一作者玛丽亚姆·梅纳扎德 ( Maryam Mehrnezhad ) 向TechCrunch 表示,“ 应用在访问传感器时,并非总是会请求用户批准。因此,与用户身份相关联的传感器——例如麦克风、相机或 GPS,在被访问时不会请求用户批准。许多用户甚至不知道 Web 应用也会获取传感器数据。” 据研究人员称,获取这些数据的黑客,能利用它们判断用户的活动,例如是在坐着、行走,还是在乘坐汽车或火车旅行。对移动浏览器来说这一问题尤其麻烦。只要浏览器标签页面开着,感染有恶意代码的网站,就能使手机传感器在后台监视用户。 梅纳扎德指出,随着包括可穿戴设备和智能家居设备在内的智能设备日趋普及,这一问题会愈发严重。纽卡斯尔大学研究团队提供了多种有助于防止缺陷被利用的方法,其中包括经常修改 PIN ,退出不使用的任何应用。 稿源:据 cnBeta、凤凰网科技内容节选,封面源自网络

诈骗分子利用 GiftGhostBot 僵尸网络窃取零售商礼品卡余额

Distil Networks 安全专家称,网络犯罪分子正利用僵尸网络 GiftGhostBot 窃取全球主要零售商提供的礼品卡余额。 GiftGhostBot 是一种专门用于礼品卡诈骗的新型僵尸网络,攻击目标为面向消费者提供礼品卡消费途径的所有网站,如奢侈品零售商、超级市场、咖啡店网站等。 据悉,诈骗分子不仅利用该僵尸网络对全球范围内近 1000 个网站发起攻击,还公然窃取合法消费者礼品卡余额。他们通过暴力攻击每小时测试多达 170 万张礼品卡帐号并查询账号余额。一旦礼品卡帐号与余额匹配正确,诈骗分子无需任何身份验证即可自动登录受害者账号。由于诈骗分子成功获取余额后即迅速潜入黑市转售帐号或直接消费,追踪此类犯罪行为具有较大难度。 Distil Networks 首席执行官 Rami Essaid 称,像其他复杂网络攻击一样,为了逃避检测,GiftGhostBots 僵尸网络正通过全球托管服务提供商、互联网服务提供商和数据中心执行 JavaScript ,模拟常规浏览器。因此,任何提供礼品卡的零售商都可能受到攻击。为防止资源流失,个人和企业必须共同努力将危害范围控制到最小程度。 原作者:Wang Wei, 译者:青楚,校对:Liuf 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

WhatsApp 和 Telegram 安全漏洞可使“亿万”用户遭受黑客攻击

据 Check Point 的安全专家介绍,近日他们从 WhatsApp 和 Telegram 的桌面版本中发现了一个安全漏洞。该漏洞影响了各种类型的 Web 浏览器,允许攻击者盗取用户的个人信息,并可通过桌面程序发送和接收消息。 WhatsApp 和 Telegram 是现今非常安全可靠的通信应用程序。安全公司表示,此次事件揭露 了 WhatsApp 和 Telegram 存在漏洞的证据。据外媒报道,这两家公司也很快作出了回应,他们现今已经修复程序,用户只需重新启动浏览器即可更新。移动设备的用户则不必担心,该漏洞只针对桌面版本的浏览器服务。 WhatsApp 和 Telegram 平台以提供端到端的加密方式而闻名,有助于防止不必要的窥探。然而,此次事件的发生是由于消息先被加密而未经过验证,WhatsApp 和 Telegram 平台没有及时确认,导致最终无法阻止恶意内容的传送。 Check Point 研究主管 Oded Vanunu 补充说, WhatsApp 和 Telegram 平台在第一时间解决了此次事件,并提醒用户及时更新系统的版本,降低信息泄露的风险。 原作者: Jason Murdock,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Google Chrome 57 不再提供暂时禁用插件功能

很多数据显示,Chrome(Chomium)已经取代微软的 IE 成为用户数第一的桌面浏览器。然而,靠着插件起家的Chrome却在最新版 Chrome 57 中做了一个常人难以理解的决定,锁止了用户禁用插件和调整插件设置的功能。此前,Chome 可在地址栏输入 chrome://plugins/ 对插件进行全局和细化调整,然而 Chome 57 中却无法打开这个页面。 权宜之计是,用户只能在设置界面进入,而且现在允许禁用和调整设置的插件仅限 Adobe Flash Player 和 Chrome PDF Viewer 这两个扩展,其它均不可用。 这一迹象似乎意味着,因为插件所带来的安全问题日益严峻的情况下,谷歌正收紧权限管控。 稿源:cnBeta;封面:百度搜索