研究：瀏覽器的密碼管理員可被腳本程式開採，不經意洩露你的隱私

普林斯頓大學資訊科技政策中心（Center for Information Technology Policy）旗下的Freedom to Tinker周三（12/27）警告，第三方腳本程式可開採各大瀏覽器中所內建的密碼管理員，於不知不覺中取得使用者的機密資料。

這些腳本程式的主要目的是追蹤使用者於網站上的瀏覽行為。當使用者登入網站並要求瀏覽器儲存登入資訊之後，腳本程式即藏匿在同一網站上的其它網頁伺機而動，一旦使用者造訪該網頁，它就會藉由隱藏的登入格式來汲取使用者的電子郵件帳號，以建立追蹤的身分識別，再將資料傳送到第三方的伺服器上。(來源：Freedom to Tinker)

在上述程序中，瀏覽器的密碼管理員會受到隱藏登入格式的召喚，並自動填入資訊。

研究人員找到了兩支用來竊取使用者電子郵件帳號的腳本程式—Adthink與OnAudience，並於Alexa前100萬大網站中的1110個網站發現它們的蹤跡。

其中，Adthink是由專門分析匿名資料的audienceinsights.net所開發，除了電子郵件之外，它還蒐集了使用者的生日、年紀、性別、特徵、興趣及所在區域等資料；至於OnAudience則是來自提供大數據工具的同名公司，除了電子郵件資料外也蒐集瀏覽器、作業系統與CPU資訊。這兩家業者蒐集資訊的目的皆為分析與行銷。

其實瀏覽器已內建同源政策（Same Origin Policy）來限制腳本程式只能存取同一網站的文件以避免跨站攻擊，但上述的攻擊模式卻是第三方業者將腳本程式嵌在同一網站上，且大多數的網站並沒有足夠的時間或技術來評估這些程式的安全性。

研究人員認為，自動填入功能不只是個安全漏洞，還帶來了隱私威脅，建議網站應該以子網域來隔離登入頁面，鼓勵使用者安裝廣告封鎖或追蹤保護機制，亦呼籲瀏覽器業者應允許使用者關閉自動填入功能。