Há algumas coisas que você ouvirá em todas as conversas sobre segurança na Internet; um dos primeiros seria usar um gerenciador de senhas. Eu já disse isso, a maioria dos meus colegas de trabalho já o disse e é provável que você tenha dito isso enquanto ajuda outra pessoa a descobrir maneiras de manter seus dados sãos e salvos. Ainda é um bom conselho, mas um estudo recente do Centro de Política de Tecnologia da Informação da Universidade de Princeton descobriu que o gerenciador de senhas no seu navegador da web que você pode usar para manter suas informações privadas também está ajudando as empresas de publicidade a rastrear você na web.
É um cenário assustador de todos os lados, principalmente porque não será fácil de consertar. O que está acontecendo não é roubar credenciais - uma empresa de publicidade não quer seu nome de usuário e senha - mas o comportamento que um gerente de senhas usa está sendo explorado de uma maneira muito simples. Uma empresa de publicidade coloca um script em uma página (duas chamadas pelo nome são AdThink e OnAudience) que funcionam como um formulário de login. Não é um formulário de login real, pois não o conectará a nenhum serviço, é "apenas" um script de login.
Quando seu gerenciador de senhas vê um formulário de login, ele insere um nome de usuário. Os navegadores testados foram: Firefox, Chrome, Internet Explorer, Edge e Safari. O Chrome, por exemplo, não digitará a senha até que o usuário interaja com o formulário, mas insira um nome de usuário automaticamente. Tudo bem, porque é tudo o que o script deseja ou precisa. Outros navegadores se comportaram da mesma forma que o esperado.
Depois que seu nome de usuário é inserido, ele e o ID do seu navegador são divididos em um identificador exclusivo. Você não precisa salvar nada no seu computador ou telefone, porque da próxima vez que visitar um site que esteja usando a mesma empresa de publicidade, você obterá outro script atuando como um formulário de login e seu nome de usuário será novamente inserido. Os dados são comparados com o que está registrado e, portanto, um identificador único foi anexado a você e pode ser (e está sendo) usado para rastrear você na Web. E isso funciona porque isso é esperado e comportamento "confiável". Além de um roteiro de seus hábitos da Internet, os dados encontrados para serem anexados a este UUID também incluem plug-ins de navegador, tipos MIME, dimensões da tela, idioma, informações de fuso horário, cadeia de agentes do usuário, informações do SO e informações da CPU.
O conjunto de heurísticas usadas para determinar quais formulários de login serão preenchidos automaticamente varia de acordo com o navegador, mas o requisito básico é que um campo de nome de usuário e senha esteja disponível
Funciona devido ao que é conhecido como Política de Mesma Origem. Quando o conteúdo de duas fontes diferentes é apresentado, ele não é confiável, mas uma vez que uma fonte é confiável, todo o conteúdo da sessão atual também é confiável (confiança nesse sentido significa que você está visualizando ou interagindo propositadamente com o conteúdo). Você direcionou seu navegador para uma página da web e interagiu com um formulário de login nessa página, para que tudo seja tratado como confiável enquanto você estiver na página. Nesse caso, porém, o script foi incorporado a uma página, mas na verdade é de uma fonte diferente e não deve ser confiável até você clicar ou interagir de alguma maneira para mostrar que pretende estar lá.
Se os elementos da página ofensivos fossem incorporados em um iframe ou outro método que corresponda à origem e ao destino dos dados, a automação dessa exploração (e sim, chamarei de exploração) não funcionaria.
Uma lista de sites conhecidos que incorporam scripts que abusam do gerenciador de login para rastreamento
Há uma chance muito boa de que os editores da Web que usam serviços de anúncios que exploram esse comportamento não tenham idéia do que está acontecendo com seus usuários. Embora isso não os exija de responsabilidade, em última análise, o produto está sendo usado para coletar dados de usuários sem o seu conhecimento e isso deve fazer com que todos os administradores de sites estejam preocupados (e possivelmente muito irados). Como usuário, não há muito que possamos fazer além de seguir as mesmas práticas de navegação "anônima" usadas quando queremos permanecer um pouco mais privados na Web. Isso significa bloquear todos os scripts, bloquear todos os anúncios, salvar dados, aceitar cookies e tratar basicamente cada sessão da web como sua própria caixa de proteção.
A única correção verdadeira é alterar a maneira como os gerenciadores de senhas funcionam através do navegador - ferramentas e extensões integradas ou outros plugins. Arvind Narayanan, um dos professores que trabalhou no projeto, coloca sucintamente:
Não será fácil de consertar, mas vale a pena fazer
Google, Microsoft, Apple e Mozilla moldaram a web como ela é hoje e são capazes de mudar as coisas para enfrentar novos problemas. Felizmente, isso está na pequena lista de alterações.
