Según un estudio realizado en la Universidad de Princeton, los sitios web pueden crear scripts, recopilar datos de las extensiones de administración de contraseñas de los navegadores y seguir a los usuarios página por página.
Casi todos los navegadores de Internet hoy en día vienen con una extensión de administración de contraseñas. Gracias a estas extensiones, no tenemos que ingresar el nombre de usuario repetidamente en los sitios web que usamos con frecuencia, y podemos iniciar sesión fácilmente en nuestra cuenta.
Un estudio del Centro de Políticas de Tecnología de la Información de la Universidad de Princeton reveló que la información de las extensiones de administración de contraseñas se puede usar para rastrearnos de un sitio a otro. Desafortunadamente, las extensiones no son tan seguras como podría pensar.
Los investigadores utilizaron dos secuencias de comandos diferentes para descubrir cómo se explotan las extensiones de administración de contraseñas. Con estos scripts llamados AdThink y OnAudience, el objetivo era usar información definida para extensiones de administración de contraseñas basadas en navegador.
El script creado crea un formulario de inicio de sesión en el fondo de la página web que el usuario no puede ver, y el navegador completa automáticamente este formulario de inicio de sesión. El script, que se centra en el nombre de usuario, puede seguir a los usuarios página por página con esta información; es decir, puede recopilar exactamente los datos que desean los anunciantes.
El mayor problema es que no hay forma de evitar estos scripts. Arvind Narayanan, profesor de informática que trabajó en el proyecto, dijo que la única forma de evitar este flujo de información es cambiar la forma en que funcionan las aplicaciones de administración de contraseñas para solicitar confirmación antes de enviar información. Desafortunadamente, esto no es fácil de lograr y, según Narayanan, el principal culpable son los sitios web que usan secuencias de comandos similares a AdThink.
Fuente: https://www.theverge.com/2017/12/30/16829804/browser-password-manager-adthink-princeton-research
