Những tiện ích quản lý mật khẩu trên trình duyệt web đang vô tình cung cấp thông tin người dùng cho các nhà quảng cáo

Rất nhiều người dùng công nghệ trên toàn thế giới đang ngày càng phụ thuộc vào các ứng dụng quản lý mật khẩu trực tuyến, đặc biệt là trong bối cảnh vấn đề về bảo mật bùng nổ như hiện nay. Không ít người đã lựa chọn cách sử dụng nhiều mật khẩu độc đáo cho mỗi tài khoản riêng biệt, nhưng lại không thể nhớ hết được chúng bởi số lượng quá nhiều. Chính vì thế, họ đã tìm đến và tin dùng các chương trình quản lý tiện lợi.

Tuy nhiên, có vẻ như ngay các những ứng dụng quản lý mật khẩu đó cũng chứa đựng nhiều điểm yếu rủi ro có thể gây bất lợi cho người dùng. Và các công ty quảng cáo hoàn toàn có thể khai thác điều này để thu thập dữ liệu từ hệ thống quản lý mật khẩu tích hợp trong trình duyệt web, từ đó vô tình tạo ra một lỗ hổng bảo mật nghiêm trọng.

Nghiên cứu từ Trung tâm Chính sách Công nghệ thông tin tại Princeton lý giải rằng có rất nhiều đoạn mã theo dõi trong các trình duyệt được thiết kế để ghi lại những thông tin không bị mã hóa từ các ứng dụng quản lý mật khẩu trên trình duyệt web.

Những công cụ quản lý mật khẩu tiện lợi lại vô tình tạo ra lỗ hổng để các nhà quảng cáo khai thác.

Khi sử dụng các ứng dụng như 1Password hay LastPass để lưu trữ và sử dụng tài khoản cá nhân cũng như mật khẩu của mình, nhiều khả năng người dùng đã vô tình cài thêm các tiện ích mở rộng khác trên trình duyệt web của họ. Và đó chính là điểm yếu mà các đoạn mã theo dõi của bên quảng cáo tập trung khai thác.

Đầu tiên, người dùng sẽ nhập vào thông tin đăng nhập trên một trang web và chấp nhận trình duyệt lưu lại thông tin của mình. Lúc này, đoạn mã theo dõi sẽ không được hiển thị trên trang mà họ đang sử dụng. Sau đó, người dùng sẽ truy cập vào một mục khác có chứa đoạn mã theo dõi do bên thứ ba cung cấp trên cùng trang web. Đoạn mã này sẽ tạo ra một bảng đăng nhập vô hình và tự động nhập toàn bộ thông tin người dùng đã lưu trên trình duyệt từ trước. Nhờ đó, email của người dùng sẽ được ghi lại và gửi về máy chủ của bên thứ ba (chính là các nhà quảng cáo).

Với thông tin thu thập được, các nhà quảng cáo có thể theo dõi những hành động trực tuyến của người dùng. Các nhà nghiên cứu đã phát hiện ra rất nhiều đoạn mã tương tự trên 1110 trong số 1 triệu trang web hàng đầu của Alexa. Vấn đề này đang ngày càng trở nên nghiêm trọng bởi trong tương lai, rất có thể chính công nghệ đó sẽ được sử dụng để thu thập mật khẩu của người dùng.

Thử nghiệm quá trình tự động lưu và hiển thị thông tin đăng nhập người dùng của BGR.

Vì thế, các chuyên gia khuyến cáo chúng ta nên thường xuyên cập nhật những ứng dụng quản lý mật khẩu của mình để tránh bị giới quảng cáo lợi dụng công nghệ bảo mật trực tuyến quan trọng này.

Theo BGR