-> ->

Найден новый способ следить за пользователями Firefox

Расширение функционала популярных браузеров очень часто предоставляет злоумышленникам новые лазейки для отслеживания действий пользователя в Сети и похищения его личных данных. Так, недавно был обнаружен новый способ осуществления слежки за теми, кто использует веб-обозреватель Mozilla Firefox.

Главной целью внедрения новых функций, которую преследуют разработчики самых популярных браузеров, является повышение производительности своего продукта и улучшение его совместимости с операционными системами. Именно для этого в Firefox была интегрирована функция кэширования промежуточных сертификатов. Она должна была существенно ускорить процесс загрузки страниц. Но эта функция имеет еще и обратную сторону. Благодаря этому процессу третьи лица могут получить доступ к разным данным о людях, заходящих на сайт. Об этом рассказал исследователь по информационной безопасности Александр Клинк. Он заявил, что благодаря кэшированию этих сертификатов любые сторонние лица, обладающие дополнительными навыками, могут получить доступ к ним и определить, какие ресурсы посещал человек. Например, этими сторонними лицами могут оказаться как рекламодатели, так и злоумышленники. Для получения доступа к сохраненным сертификатам достаточно использовать всего лишь несложный тест.

Например, рекламодатели могут осуществить загрузку некоторых данных с сайтов, имеющих неправильно сконфигурированный HTTPS. Это могут быть даже обычные иконки ресурсов. Большинство таких сайтов работает с одним и тем же промежуточным сертификатом. Если пользователь заходил на тот или иной сайт, то он загрузится корректно, так как данные о нем сохранены в кэше браузера. Если же человек не посещал ни один из сайтов, где используется определенный промежуточный сертификат, то во время попытки загрузки такого ресурса покажется сообщение об ошибке. Этот метод может активно использоваться рекламодателями для того, чтобы выяснить, на какие сайты заходил человек, и собрать о нем имеющуюся информацию. Однако эксперты отмечают, что такой способ позволяет получить доступ только к ограниченной информации о пользователе. Например, можно вычислить его местоположение или страницы, которые он просматривал, чтобы потом предложить ему максимально подходящую по теме рекламу.

Стоит отметить, что этот способ не позволяет собирать о пользователе личную информацию и не предоставляет доступ к логинам и паролям, вводимым в браузере. Однако злоумышленники с помощью кэширования промежуточных сертификатов смогут установить, когда браузер запущен обычным способом, а когда он работает в песочнице. Эту информацию они могут использовать для совершения разного рода атак на личные компьютеры пользователей и загрузки вредоносного программного обеспечения.

Клинк рассказал, что он уже оповестил Mozilla об обнаруженной проблеме. В свою очередь в компании его заверили, что специалисты сразу же приступили к устранению этой проблемы. В частности, Mozilla намерена внедрить специальную систему телеметрии, которая будет собирать данные о том, насколько эффективно кэшируются данные в браузере. На реализацию этой функции, предположительно, придется потратить много времени.

Поставить рейтинг:(Рейтинг: 2.44, оценок: 9)
 
Поделитесь новостью:

New! Полная статистика популярности браузеров по Рунету и миру. Системы сбора статистики LiveInternet, OpenStat, StatCounter в одном месте. Данные по всем популярным браузерам, таким как Google Chrome, Mozilla Firefox, Яндекс.Браузер, Opera, Microsoft Internet Explorer, а также альтернативным браузерам.

Возможно, Вам будут интересны новости:
События в тоже время:

Комментарии

Комментариев пока нет

Чтобы оставить комментарий - зарегистрируйтесь или авторизуйтесь через любимый сервис (ВКонтакте, Одноклассники, Twitter и др.) с помощью OpenID.