Un difetto nei principali browser consente agli script di terze parti di sottrarre informazioni riservate, come le password che vengono salvate tramite le funzionalità incorporate nei browser stessi.
Alcuni ricercatori in ambito Cyber Security hanno infatti scoperto come le aziende di marketing abbiano iniziato a sfruttare quella che è una vulnerabilità già nota da tempo, e che riguarda proprio le funzionalità di gestione delle password incorporate nei browser.
Grazie a questa vulnerabilità è potenzialmente possibile acquisire in modo fraudolento le credenziali degli utenti (indirizzo mail e password), per finalità non lecite.
I principali browser – Google Chrome, Mozilla Firefox, Opera o Microsoft Edge – sono infatti dotati di uno strumento per la gestione delle password di facile utilizzo, che consente di salvare le informazioni di accesso per poi facilitare il riempimento automatico dei moduli.
Ma questa funzionalità, può essere abilmente sfruttata per ottenere in modo fraudolento informazioni riseravate.
Sono stati infatti individuati alcuni script di tracciamento prodotti soprattutto da società di marketing, che sono in grado di iniettare moduli di accesso invisibili sullo sfondo della pagina Web, ingannando così i gestori di password incorporati nei browser e sottraendo le informazioni che vengono salvate dagli utenti.
Poiché questi script sono progettati principalmente per il tracciamento, una volta rilevato il nome utente, lo inviano a server di terze parti che potranno utilizzarlo per monitorare le attività e i comportamenti degli utenti.
La preoccupazione principale è che la stessa scappatoia potrebbe consentire a criminali cyber di rubare i nomi utente e le password salvati nei browser.
Il modo più semplice per prevenire tali attacchi è disabilitare la funzione di riempimento automatico sul browser.
Per mantenere la stessa facilità di memorizzazione delle password è più sicuro ricorrere a una Password Manager non incorporato nei browser, come ad esempio LastPass e 1Password. Questi gestori di password più sofisticati non risultano vulnerabili a questo tipo di attacco, poiché evitano l’auto-compilazione di moduli invisibili e richiedono anche l’interazione dell’utente.
