Falha em navegadores permite o roubo de senhas usando scripts

Pesquisadores de segurança alertaram para uma falha em navegadores que pode permitir o roubo de senhas usando scripts de terceiros.

Falha em navegadores permite o roubo de senhas usando scripts

De acordo com os pesquisadores do Center for Information Technology Policy da Universidade de Princeton, empresas de marketing estão se aproveitando de um bug no gerenciador de senhas dos principais navegadores para ter acesso aos endereços de email dos usuários e assim enviar spam.

O problema é que este mesmo bug pode ser usado para que criminosos roubem senhas e nomes de usuário armazenados nos navegadores sem que as vítimas saibam.

Os principais navegadores disponíveis hoje – Google Chrome, Mozilla Firefox, Opera e Microsoft Edge – trazem um gerenciador de senhas básico que permite que o usuário salve suas informações de login para que ele não perca temo digitando estas informações novamente.

Estes gerenciadores de senha foram criados para facilitar a vida do usuário, detectando os campos de login nos sites e preenchendo-os automaticamente.

O problema é que os pesquisadores de segurança descobriram que pelo menos duas empresas de marketing, AdThink e OnAudience, estão explorando o bug nestes gerenciadores para monitorar os hábitos de navegação dos visitantes de 1.110 sites.

Scripts de monitoramento encontrados pelos pesquisadores nestes sites injetam campos de login invisíveis no fundo da página, enganando os gerenciadores de senhas dos navegadores para que eles preencham os campos usando as informações do usuário.

Falha em navegadores permite o roubo de senhas usando scripts Baboo - Tecnologia e Ciência

Os pesquisadores disseram que o preenchimento automático geralmente não requer interação do usuário. Todos os principais navegadores preencherão automaticamente os campos de login mesmo se eles não estiverem visíveis.

No caso do Chrome, ele não preenche o campo de senha automaticamente até que o usuário toque ou clique na página. Outros navegadores não requerem interação do usuário para o preenchimento automático do campo de senha.

Como estes scripts foram criados para monitoramento, eles detectam nomes de usuário e enviam as informações para servidores de terceiros.

Os pesquisadores criaram uma página para demonstração da falha, onde você pode testar seu navegador e conferir se ele é vulnerável.

Você também pode evitar o problema desativando o preenchimento automático de formulários nas opções do seu navegador.