Secondo uno studio, conservano tutto ciò che gli utenti scrivono nelle form, anche senza premere il tasto “Invia”.
[ZEUS News - www.zeusnews.it - 17-05-2022]
È evidente che, quando si inseriscono i propri dati nella form di un sito - che sia per iscriversi a una newsletter, per fare un acquisto, per prenotare un hotel - e poi si preme Invia, quei dati saranno consegnati a chi gestisce il servizio, con la possibilità che finiscano anche in mano di terze parti.
Finché non si preme il fatidico tasto, però, non succede niente. O non dovrebbe succedere, poiché la realtà è diversa da quella che si darebbe per scontata.
Un recente studio, che sarà presentato nel dettaglio il prossimo agosto durante Usenix Security, ha mostrato come moltissimi siti carpiscano i dati che vengono inseriti nelle form anche se, magari, si cambia idea prima di cliccare su Invia.
I ricercatori hanno analizzato i 100.000 siti più visitati, ponendosi come visitatori dall'Unione Europea e dagli Stati Uniti. Hanno così scoperto che 1.844 siti registravano gli indirizzi email dei visitatori provenienti dalla UE senza chiedere il loro consenso, e ben 2.950 siti facevano lo stesso con i visitatori provenienti dagli USA.
In altre parole, ci sono migliaia di siti che si comportano come dei veri e propri keylogger, registrando i tasti premuti dagli utenti che questi lo vogliano oppure no.
Secondo i ricercatori, molti di questi siti non compiono la raccolta in prima persona, e forse nemmeno ne sono consapevoli: essa avviene invece attraverso i servizi di terze parti impiegati per la pubblicità o per raccogliere le statistiche.
C'è dell'altro: lo stesso studio ha individuato 52 siti che con la stessa tecnica memorizzano le password degli utenti non appena questi le scrivono nell'apposito campo.
«Se una form contiene un pulsante "Invia"» - commenta Güneş Acar, uno dei principali autori dello studio - «è lecito aspettarsi che quel pulsante faccia qualcosa, ossia che invii i dati quando vi si clicca sopra». Decisamente più sorprendente è invece scoprire che i dati vengono inviati indipendentemente dal pulsante.
«In certi casi» - aggiunge Asuman Senol, un altro degli autori - «quando si clicca sul campo successivo, vengono raccolti i dati di quello precedente; per esempio, si clicca sul campo della password e viene salvato il contenuto del campo email; o magari si clicca in un punto qualsiasi e le informazioni vengono subito raccolte».
«Non ci aspettavamo di trovare migliaia di siti [che si comportano così, NdR]» conclude Senol. «E negli Stati Uniti i numeri sono proprio alti, il che è interessante».
La differenza tra USA e UE si può spiegare, secondo gli autori della ricerca, con le conseguenze più severe previste in Europa per chi viene scoperto a raccogliere dati senza autorizzazione dai titolari degli stessi; gli stessi ricercatori, però, sottolineano che questa è solo una possibilità, e possono esistere altre spiegazioni.
Ulteriori dettagli saranno rivelati durante Usenix Security, in programma a Boston dal 10 al 12 agosto prossimi.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
© RIPRODUZIONE RISERVATA |
|
|
||
|
Gladiator