Início » Antivírus e Segurança » Scripts em sites usam o gerenciador de senhas do navegador para direcionar anúncios

Scripts em sites usam o gerenciador de senhas do navegador para direcionar anúncios

Emerson Alecrim Por

Digitar senhas é uma tarefa chata. É por isso que muita gente usa de bom grado os gerenciadores de senhas existentes nos principais navegadores. Se é o seu caso, muita atenção: pesquisadores do Centro de Políticas de Tecnologia da Informação da Universidade de Princeton descobriram que há sites coletando informações dessas ferramentas para exibir anúncios direcionados.

Os gerenciadores de senha nativos (ou gerenciadores de login) dos navegadores são muito simples quando comparados a ferramentas como 1Password e LastPass, mas eles quebram um galhão porque preenchem campos de login e senha automaticamente. De acordo com o professor de ciência da computação Arvind Narayanan, um dos responsáveis pela pesquisa, scripts das empresas AdThink e OnAudience — até o momento, as únicas identificadas — exploram essa funcionalidade para coletar dados.

Campo de senha

Basicamente, os scripts criam nas páginas em que foram implementados campos de login invisíveis ao usuário, mas que são identificados pelo navegador e, consequentemente, preenchidos pelo gerenciadore de senhas. O nome de usuário é então coletado e inserido em uma base de dados de controle. Quando esse mesmo login for identificado em outras páginas, anúncios específicos podem ser exibidos para aquele usuário — é como se o banner o “perseguisse”.

Nada impede o uso dessas informações para outros fins. Os pesquisadores descobriram, por exemplo, que o script da AdThink envia os nomes coletados para a empresa de marketing Acxiom, que provavelmente aplica as informações na mensuração de audiência. Mas o pior é o risco de a técnica ser explorada de alguma forma para a captura de senhas.

Para o truque funcionar, o script tem que ser implementado em sites com campos de login legítimos, afinal, é necessário que o usuário tenha conta lá para o preenchimento automático ser ativado. Esse é um indício de que os administradores do site provavelmente não sabem que os scripts coletam dados desses campos: quem iria expor a sua base de usuários assim?

Coleta de dados de gerenciadores de senhas

Mas, para Narayanan, os sites têm sua parcela de culpa porque não exercem um controle mais rigoroso sobre scripts rodando em segundo plano: “esses problemas surgem em parte porque os administradores têm sido negligentes ao permitir scripts de terceiros em seus sites sem entender as implicações”.

Procurada, a Audience Insights, empresa responsável pela AdThink, não comentou o assunto. Pelo menos a empresa tem uma página de opt out que permite bloquear o rastreamento (ainda que não esteja claro se esse bloqueio é realmente respeitado).

Com informações: The Verge.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Dedpul
uBlock Origin tem uma função que eu adoro. Você ativa os filtros pessoais na configuração da extensão. Então é só clicar com o botão direito no anúncio que te incomoda e adicioná-lo à tua lista de bloqueio. Ele some na hora e nunca mais aparece.
grande_dino_2
Não sei MAC porque não sei se essa é uma informação que seja coletável (deve ser), mas mesmo que dê, seria abrangente demais porque seria atrelado ao aparelho, não ao usuário. Por ip seria extremamente abrangente, já que ip estático não é regra, além de ser extremamente fácil você mudar o seu ip com um vpn ou proxy. Já os dados de login e senha vão ser bem mais específicos porque, supõe-se, as pessoas não ficam compartilhando login e senha com várias pessoas e elas não ficam criando uma conta nova a cada visita.
Carlos Cabral
Nano Adblocker + Nano Defender é a melhor combinação.
Natthan Fruche Terzi
Dúvida, não daria pro script rastrear o mac ou o ip e entregar publicidade direcionada, qual a diferença?
Baidu feat MC Brinquedo
É o que eu repito: um bloqueador de propagandas atua como um antivírus nos dias de hoje. Whitelist só para sites que sabem como inserir ADS de maneira discreta. Chega de botão de download falso, de Baidu™ e de pop-up do cão.
Marcogro®
Microsoft 2x...
ditom
Prefiro pensar que os navegadores modernos abusam da confiança dos usuários. Google, Microsoft, Mozilla, Opera entre outros é que deviam "apanhar de corda, corrente ou fio elétrico".
Marcogro®
Mandei um Nano... Segui a dica do @carloshbcabral:disqus
Marcogro®
Mandei um Nano defender, segui o conselho do @Carlos Cabral:disqus
Rafael F. Silva
Cara, o Ublock tá deixando passar propagandas no gmail de vez em quando... fica esperto.
Marcogro®
...Vou pesquisar. Ainda consegue ser melhor?
Tenente Figueiredo
Quem salva senha no navegador tem que apanhar de corda, corrente ou fio elétrico (ligado na tomada, é claro).
Islan Oliveira
Já tem um bom tempo que não permito o computador salvar nenhuma senha, prefiro sempre fazer o login "manual".
Cássio Amaral
Adblocker já virou questão de segurança do usuário.
Carlos Cabral
Recomendo uma olhada no Nano Adblocker, um fork do uBlock Origin.
Exibir mais comentários