Nhà quảng cáo đang thu thập thông tin người dùng từ các trình quản lý mật khẩu_mls mỹ

Theàquảngcáođangthuthậpthôngtinngườidùngtừcáctrìnhquảnlýmậtkhẩmls mỹo trang tin BGR, các ứng dụng quản lý mật khẩu thực ra lại không an toàn như mọi người vẫn nghĩ, và chúng đều có những lỗ hổng chí mạng tạo điều kiện cho các công ty quảng cáo truy xuất dữ liệu từ hệ thống quản lý mật khẩu của trình duyệt.

Cụ thể, một nghiên cứu của Trung tâm Chính sách Công nghệ thông tin Princeton đã giải thích rằng một số đoạn mã nhất định được thiết kế để đánh cắp thông tin định danh từ các ứng dụng quản lý mật khẩu dựa trên trình duyệt. Bởi để có thể nhanh chóng điền các username và password được lưu trong một ứng dụng quản lý mật khẩu như 1Password hay LastPass chẳng hạn, vào các ô nhập liệu trên website, người dùng cần phải cài các add-on vào trình duyệt mình đang sử dụng. Chính những add-on này là đối tượng bị các đoạn mã độc hại kia nhắm đến. Phương thức hoạt động của các đoạn mã lợi dụng lỗ hổng bảo mật nêu trên như sau:

- Đầu tiên, một người dùng sẽ điền thông tin vào các form đăng nhập trên website, và yêu cầu trình duyệt lưu lại các thông tin này. Các đoạn mã theo dõi vẫn chưa hiện diện trên trang đăng nhập.

- Tiếp theo, khi người dùng mở một trang khác thuộc về website mà họ vừa đăng nhập, và trang này có chứa một đoạn mã theo dõi bên thứ 3 trên đó. Đoạn mã theo dõi sẽ chèn vào đó một form đăng nhập vô hình, và trình quản lý mật khẩu của trình duyệt sẽ "vô tình" tự động điền vào form này.

- Đoạn mã bên thứ 3 nêu trên sẽ thu thập lại địa chỉ email mà người dùng vừa nhập và chuyển nó về một máy chủ bên thứ 3. Lúc này, bên thứ 3 kia có thể sử dụng thông tin thu được để theo dõi người dùng.

Đáng quan ngại hơn là các đoạn mã kia bị phát hiện có mặt trên 1110 website trong tổng số 1 triệu website hàng đầu do Alexa xếp hạng. Đây là một con số khá nhỏ, và thu thập email cũng chưa phải là điều nghiêm trọng lắm, nhưng ai mà biết được liệu trong tương lai sẽ có ai lợi dụng công nghệ tương tự để thu thập luôn mật khẩu người dùng hay không?

Do đó, việc cấp thiết hiện nay là các trình quản lý mật khẩu cần phải được cập nhật để các hãng quảng cáo không thể lợi dụng công nghệ bảo mật trực tuyến quan trọng này nữa. 

Dưới đây là đoạn video biểu diễn phương thức thu thập thông tin nêu trên: