Password manager nell’occhio del ciclone: possono essere usati per tracciare gli utenti

I password manager come ultima frontiera del tracciamento dei comportamenti dell’utente online: questo è il risultato di una nuova ricerca di Freedom to Tinker, spazio web dedicato all’analisi del mondo di Internet. I software utilizzati in tutto il mondo per rendere più semplice e veloce l’autocompletamento dei form online possono essere sfruttati per carpire all’insaputa dell’utente dati sensibili, tra cui gli indirizzi e-mail ed ovviamente le password associate ai nostri account.

Questo avviene, secondo Freedom to Tinker, facendo leva su alcuni script in grado di estrapolare dal nostro password manager in uso i dati in questione. Sarebbero a rischio anche le versioni in-built (incorporate all’interno del browser) e le estensioni (una su tante, LastPass, particolarmente popolare tra gli utenti). Questo consente ad alcuni proprietari di siti web di tracciare la navigazione dell’utente, oltre a potenzialmente sottrargli informazioni private nel caso in cui l’autocompletamento fosse abilitato a 360°.

Quello che più ha sorpreso i ricercatori è comunque il fatto che non si tratta di un semplice attacco a livello teorico: già oltre 1000 siti implementano gli script invasivi in grado di interagire col password manager in uso sul nostro sistema. Al momento, per prevenire il problema è utile disabilitare l’autofill nei siti in cui non abbiamo assoluta certezza di essere protetti dal password sniffing, e di proteggere tutte le credenziali contenute all’interno del nostro software di fiducia con una master password, che possa essere digitata manualmente e non semplicemente rivelata dallo script malevolo. La nuova scoperta porterà di certo al lancio di nuove misure di sicurezza a bordo dei principali browser: come reagiranno Google, Opera Software, Apple e Mozilla di fronte a questa minaccia?

via