研究：浏览器的密码管理员可被脚本程式开採不经意洩露你的隐私

Freedom to Tinker

普林斯顿大学资讯科技政策中心（Center for Information Technology Policy）旗下的Freedom to Tinker周三（12/27）警告，第三方脚本程式可开採各大浏览器中所内建的密码管理员，于不知不觉中取得使用者的机密资料。

这些脚本程式的主要目的是追蹤使用者于网站上的浏览行为。当使用者登入网站并要求浏览器储存登入资讯之后，脚本程式即藏匿在同一网站上的其它网页伺机而动，一旦使用者造访该网页，它就会藉由隐藏的登入格式来汲取使用者的电子邮件帐号，以建立追蹤的身分识别，再将资料传送到第三方的伺服器上。(来源：Freedom to Tinker)

在上述程序中，浏览器的密码管理员会受到隐藏登入格式的召唤，并自动填入资讯。

研究人员找到了两支用来窃取使用者电子邮件帐号的脚本程式—Adthink与OnAudience，并于Alexa前100万大网站中的1110个网站发现它们的蹤迹。

其中，Adthink是由专门分析匿名资料的audienceinsights.net所开发，除了电子邮件之外，它还蒐集了使用者的生日、年纪、性别、特徵、兴趣及所在区域等资料；至于OnAudience则是来自提供大数据工具的同名公司，除了电子邮件资料外也蒐集浏览器、作业系统与CPU资讯。这两家业者蒐集资讯的目的皆为分析与行销。

其实浏览器已内建同源政策（Same Origin Policy）来限制脚本程式只能存取同一网站的文件以避免跨站攻击，但上述的攻击模式却是第三方业者将脚本程式嵌在同一网站上，且大多数的网站并没有足够的时间或技术来评估这些程式的安全性。

研究人员认为，自动填入功能不只是个安全漏洞，还带来了隐私威胁，建议网站应该以子网域来隔离登入页面，鼓励使用者安装广告封锁或追蹤保护机制，亦呼吁浏览器业者应允许使用者关闭自动填入功能。