幾乎每個瀏覽器都有密碼管理工具,而比較流行的 App 或者插件,像 LastPass 和 1Password 也做到我們都非常痛恨的事情——記住密碼。但根據 Technology Policy 的最新研究,這些密碼管理器的數據已經被用於監控用戶網絡足跡。
研究人員檢測了兩種不同類型的腳本——AdThink 和 OnAudience——兩者都是為獲取瀏覽器密码管理器信息而設計的。這些腳本靠著在後臺秘密插入登錄信息來獲取瀏覽記錄。這些信息會生成一個可長期追蹤的 ID,是潛在網絡投放利器。
這類插件主要關注用戶名。根據研究人員的說法,目前還沒有能夠阻止這種腳本運行的方法。唯一可行的做法是更改密碼管理器的工作方式,在記錄登錄信息時要求更詳細的信息。「這並不容易,但很值得。」研究人員 Princeton CS 教授 Arvind Narayanan 說道。
反觀 AdThink,自動記錄的信息會被反哺到 Axcoim,一個龐大的用戶信息交易平臺,很可能會記錄網站訪問數據。AdThink 的實際運作人 AudienceInsights 讓用戶能夠看到他們在系統中獨特的 ID,想要達成透明運作,但實際上這種「透明」程度完全取決於運作人。
研究人員認為主要的責任在於那些運行了 AdThink 这类腳本的網站,很多站長並沒有意識到這些插件的喂好。「我們希望看到站長們更好的控制網站上第三方腳本,」Narayanan 說道,「造成這些問題的一部分原因在於網站運作人對於第三方腳本缺乏警惕,在沒有深入瞭解這些腳本就貿然使用。」
