Una de las "funciones más útiles" de los navegadores web, como ser la de guardar y autocompletar contraseñas, se convirtió súbitamente en un problema: investigadores descubrieron que dos compañías de marketing están aprovechando esa función para hacer seguimiento y guardar direcciones de correo electrónico de los usuarios.

¿Cómo exactamente? Para entender el problema, hay que entender como funciona el autocompletado de contraseñas. Los datos guardados por el navegador son rellenados de forma automática cada vez que en una página aparecen los campos de usuario y contraseña, la mayoría de las veces sin que haya intervención del usuario.
El problema ocurre entonces cuando un script de terceros inserta un formulario invisible en una página con los campos de usuario y contraseña; el navegador le entrega esos datos al script sin chistar y sin que el usuario sepa. Luego, los datos (normalmente, solo el correo) se envían a una base de datos externa y según los investigadores, "las direcciones de correo son únicas y persistentes, por lo que el hash con esa dirección es un excelente identificador para hacer rastreo".

En Freedom to Tinker indican que esta vulnerabilidad ha sido conocida por años. "Desde la perspectiva de seguridad, no hay vulnerabilidad alguna y todo funciona como debe funcionar":

La seguridad de la red descansa en el modelo Same Origin Policy (Política del Mismo Origen), que trata a los scripts y los contenidos de diferentes orígenes como desconfiables, por lo que el navegador impide que interfieran entre sí.

Sin embargo, si un publisher inserta de forma directa en su sitio un código de terceros, en vez de aislarlo en un iframe, el script se trata como si viniera del mismo origen del publisher. Por consecuencia, tanto el publisher como los usuarios pierden las protecciones de la política del mismo origen y nada impide que el script extraiga información sensible.

Lamentablemente, la inserción directa es el método común y por defecto, lo que explica que este tipo de vulnerabilidades existan.

Los investigadores crearon una página de demostración donde explican de forma muy académica como funciona la vulnerabilidad. Todos los navegadores que usamos en nuestras pruebas capturaron de forma correcta al menos el correo electrónico y en el caso de Firefox 57.0.1, incluso se capturó la contraseña.

¿Cómo evitar que esto siga pasando?

Mientras alguien hace algo, se recomienda desactivar el autocompletado de contraseñas en los navegadores. Y además, los gestores de contraseñas externos como 1Password no sufren con la vulnerabilidad.

La investigación concluyó que al menos 1.110 sitios utilizaban este tipo de scripts y que las compañías AdThink y OnAudience son las que más réditos sacan de esta práctica, alimentando sus bases de datos con la información (y la actividad) de quien sabe cuantos usuarios de Internet.

Fuente: FayerWayer | Freedom-To-Tinker