Популярные сайты считывают вводимый текст ещё до отправки. Яндекс собирал пароли
Исследователи из Лёвенского католического университета, Университета Неймегена и Университета Лозанны проанализировали 100 000 популярнейших сайтов и выяснили, что некоторые из них собирают вводимый пользователем адрес электронной почты ещё до того, как он его отправит — если человек передумает в последний момент, то его емейл всё равно уже будет в базе данных третьих лиц. Об этом сообщает WIRED.
Специалисты более года исследовали сайты, ориентированные на жителей Европейского Союза и США. Выяснилось, что среди них эту уловку используют 1 844 портала для ЕС и 2 950 ресурсов для Соединённых Штатов Америки. Разработчики большинства этих сайтов, судя по всему, делают это ненамеренно — они используют сторонние маркетинговые и аналитические сервисы, которые провоцируют такие действия.
Третьим лицам нужна эта информация для того, чтобы понять, какие сайты посещает пользователь, и точнее подстроить рекламу под него.
Также исследователи специально анализировали сайты на предмет аналогичного сбора вводимых паролей. В итоге они обнаружили это на 52 сайтах, где сторонние сервисы (включая Яндекс) «случайно собирали пароли» даже перед их отправкой пользователями. Выявив эти нарушения, специалисты направили отчёт зафиксированным сайтам — впоследствии все 52 случая были устранены.
Детальные результаты исследования обнародуют в августе на конференции Esenix, однако некоторая углублённая информация известна уже сейчас. Например, сообщается, что некоторые сайты действуют как кейлогеры — считывают каждый вводимый символ сразу после нажатия клавиши. Однако большинство сохраняют информацию только после того, как пользователь покидает текущее поле ввода (или переходит к следующему).
Также исследователи разработали браузерное расширение LeakInspector, позволяющее обнаруживать и блокировать отслеживание вводимого текста — оно даже показывает сервис, который хотел их собрать. Однако разработка пока что находится в режиме тестирования. Специалистам не удалось опубликовать её в Chrome Web Store, поскольку новые расширения типа Manifest v2 не принимаются, а Manifest v3 запрещает доступ к деталям сетевых запросов. Сейчас ведётся работа над публикацией дополнения для Firefox. Впрочем, заинтересованные пользователи могут установить его вручную.