Moramo priznati da smo impresionirani ovom metodom praćenja. Naime, kako izvještava The Verge, oglašivači su počeli iskorištavati softver za upravljanje lozinkama kako bi korisnicima prikazivali personalizirane oglase (bihevorističko oglašavanje). Princetonov Centar za politike informacijskih tehnologija, koji smo već spominjali u prethodnim člancima, zaslužan je za ovo otkriće.
Ova metoda praćenja iskorištava alate za pohranu lozinki u preglednik, ali i razne priključke i dodatke poput LastPassa. Problematično je automatsko popunjavanje obrazaca za lozinke jednom kad ih alat prepozna.
Metoda
Kad vaš preglednik automatski ispuni obrazac za unos lozinke, podaci kojima ga popuni može se iskoristiti za praćenje. Princip je jednostavan. Web-stranica vam prikaže ispravan obrazac koji koristite za prijavu, odnosno registraciju. No, isti taj obrazac, samo sakriven, prikaže i na ostalim stranicama. Vi ga ne vidite, ali vaš preglednik vidi i ispunjava ga podacima za prijavu. Skripta prisutna na stranici potom poslužitelju šalje hash vrijednost kojom se prate vaše navike pregledavanja stranica.
Neke skripte usput prikupljaju i podatke o pregledniku, operacijskom sustavu, postavkama lokalizacije i vrsti procesora. Istraživači su otkrili dvije skripte koje za sada koriste ovu medotu: AdThink i OnAudience, no pitanje je vremena kad će se otkriti ili razviti ostale.
Prikaz napada po koracima. Sva prava pridržana © Princeton Center for Information Technology Policy
Pogodite što se zatim događa s vašim podacima? Naravno, nude se na prodaju. Vaš jedinstveni identifikator prodaje se najvišem ponuđaču u svrhu oglašavanja i vi tu ne možete puno napraviti. AdThink u izjavi koju je prenio The Verge tvrdi kako je skripta korištena samo u eksperimentalne svrhe i predstavlja malen dio ukupno prikupljenih podataka.
Protumjere
Nasreću, te skripte ne kradu adrese e-pošte i lozinke. Takva je krađa za sada iznimno rijetka (premda itekako moguća). Uz nekoliko malih preinaka, netko zlonamjeran bi s lakoćom mogao ‘pobrati’ sve unesene lozinke.
Još gora je činjenica da taj sigurnosni propust nije ništa novo. Cross-site scripting i značajke automatskog ispunjavanja polja ne idu jedni s drugima, na što razni istraživači sigurnosti upozoravaju već više od desetljeća.
Potencijalne sigurnosne probleme možete na najbolji način izbjeći tako da koristite različite lozinke za sve stranice na koje se registrirate. Tako vam barem neće moći ukrasti podatke za ostale račune čak i ako se u jednom slučaju nešto dogodi. Najsigurnija alternativa jest dodatak za preglednike poput NoScripta, no njegovim korištenjem većina web-stranica prestat će se prikazivati kako spada. Žalosno je što to uopće postaje razumna opcija, no to je isključivo krivica oglašivača i webmajstora. Pomoći će i obični softver za blokiranje oglasa poput AdBlockPlusa koji će vjerojatno dodati domene s kojih skripte potječu na listu blokiranih.
Razmislite i o isključivanju značajke automatskog popunjavanja polja, čime ćete doskočiti problemu. U Firefoxu je to moguće promjenom postavke ‘signon.autofillForms’.
Da biste došli do tih postavki, u adresnu traku upišite ‘about:config’.
U budućnosti se od W3C-a očekuje propisivanje obaveznog obavještavanja korisnika u slučajevima kad preglednik popuni polja na stranici podacima za prijavu. Time će se omogućiti lako prepoznavanje zlonamjernih stranica. Od praćenja putem AdThink skripte možete se odjaviti ovdje.
Softver za pohranu lozinki koji automatski ne popunjava polja na stranicama (kao što su 1Password i Keeper) ne podliježu ovom napadu.
Je li ovo legalno?
Vjerujemo da je broj vlasnika web-stranica koji koriste ove skripte, a da ih je istovremeno briga za privatnost korisnika i legalnost zanemarivo mali. Ovo je zato uglavnom ‘akademsko pitanje’. Doduše, u Europskoj uniji, barem kad GDPR stupi na snagu, ovakva će praksa vjerojatno biti protuzakonita.
Čak i da je ta praksa danas zakonita, sama činjenica da korisnici nisu na kvalitetan način obaviješteni o tome prekršaj je prema GDPR-u. Takve se radnje ne smiju prešućivati ili sakrivati u dugačke izjave o privatnosti ili uvjete korištenja. Bez izričite privole takvo je prikupljanje podataka protuzakonito. No naravno, kažnjavanje vlasnika koji krše propise bit će vrlo teško do neizvedivo.
Zaključak
Ovakva praksa trebala bi vas zabrinuti. Premda su istraživači od milijun najpopularnijih stranica na Alexi pronašli samo 1100 koje koriste takve alate, znamo koliko se to lako može proširiti ako se ispostavi da su skripte korisne. Radi se o ogromnom problemu jer se od vas bez vašeg znanja ili dozvole doslovce kradu podaci. Ako naiđete na takvu stranicu, naš je savjet da je jednostavno prestanete koristiti. Ovoga puta iz oglašivačkog su tabora definitivno pretjerali.
Ubrzo nakon objave članka obratili su nam se iz tvrtke Cloud Technologies (OnAudience.com). Njihovu izjavu u cijelosti možete pročitati ovdje (tekst na engleskom jeziku).
