Theo một nghiên cứu được thực hiện tại Đại học Princeton, các trang web có thể tạo tập lệnh, thu thập dữ liệu từ tiện ích mở rộng quản lý mật khẩu của trình duyệt và theo dõi người dùng từng trang.
Hầu như tất cả các trình duyệt internet hiện nay đều có phần mở rộng quản lý mật khẩu. Nhờ những tiện ích mở rộng này, chúng ta không phải nhập tên người dùng nhiều lần trên các trang web mà chúng ta sử dụng thường xuyên và có thể dễ dàng đăng nhập vào tài khoản của mình.
Một nghiên cứu tại Trung tâm Chính sách Công nghệ Thông tin của Đại học Princeton đã tiết lộ rằng thông tin từ tiện ích mở rộng quản lý mật khẩu có thể được sử dụng để theo dõi chúng tôi từ trang này sang trang khác. Thật không may, tiện ích mở rộng không an toàn như bạn nghĩ.
Các nhà nghiên cứu đã sử dụng hai tập lệnh khác nhau để khám phá cách các phần mở rộng quản lý mật khẩu đang bị khai thác. Với các tập lệnh có tên AdThink và OnAudience này, mục đích là sử dụng thông tin đã xác định cho các tiện ích mở rộng quản lý mật khẩu dựa trên trình duyệt.
Tập lệnh đã tạo sẽ tạo một biểu mẫu đăng nhập trong nền của trang web mà người dùng không thể xem được và trình duyệt sẽ tự động điền vào biểu mẫu đăng nhập này. Tập lệnh tập trung vào tên người dùng, có thể theo dõi người dùng từng trang với thông tin này; nghĩa là nó có thể thu thập chính xác dữ liệu mà nhà quảng cáo muốn.
Vấn đề lớn hơn là không có cách nào để ngăn chặn những đoạn script này. Arvind Narayanan, giáo sư khoa học máy tính từng làm việc trong dự án, cho biết cách duy nhất để ngăn chặn luồng thông tin này là thay đổi cách thức hoạt động của các ứng dụng quản lý mật khẩu để yêu cầu xác nhận trước khi gửi thông tin. Thật không may, điều này không dễ đạt được và theo Narayanan, thủ phạm chính là các trang web sử dụng tập lệnh giống AdThink.
Nguồn: https://www.theverge.com/2017/12/30/16829804/browser-password-manager-adthink-princeton-research
