Obtención de información sensible del anuncio que se muestra en las páginas web

Navega tus respuestas
1

Como todos sabemos, el JavaScript cargado dentro de un sitio web A se restringe para acceder al dominio mismo [ misma política de origen ].

Lamentablemente, la misma política de origen no se aplica a los nodos DOM recién creados, que, por ejemplo, vinculan archivos JPEG de dominios de terceros. Por lo tanto, al usar este enlace de medios, un script malicioso podría pasar información sensible a cualquier tercero utilizando los parámetros GET.

Supongamos que el sitio A carga un archivo JavaScript de una empresa de publicidad para mostrar el anuncio. Normalmente, los anuncios se seleccionan, por ejemplo. por las operaciones de búsqueda anteriores del usuario. Dado que el proceso de publicación de anuncios se realiza en el servidor del anunciante, la información relacionada con la privacidad no se expondrá al sitio A (de manera directa).

Pero técnicamente, el JavaScript realiza algunas manipulaciones de DOM para que el anuncio sea visible en las páginas de A . Por lo tanto, A podría preparar un archivo JavaScript, que rastrea las operaciones del script del anunciante. Específicamente, A podría rastrear qué anuncio exacto se muestra.

Supongamos que estos argumentos son correctos, ¿ A podría regenerar información de privacidad sensible de los usuarios?

Ejemplo específico

  • El usuario U usa Google para buscar ciertos problemas de salud.
  • Por lo tanto, el análisis de Google apunta al usuario U como enfermo con respecto a alguna enfermedad.
  • A es una compañía de seguros que vende planes de seguro de salud.

Si U navega en el sitio de A , A podría rechazar el seguro de salud debido al hecho, A analiza la publicidad presentada por Google para U .

  • ¿Esto es pura teoría?
  • ¿O puede suceder esto?
  • ¿Ocurre en realidad?
pregunta SteAp 07.09.2013 - 01:09
fuente

1 respuesta

1

Por regla general, esto no sucede en la vida real. Normalmente, el contenido de terceros de esta variedad se carga en un iframe separado, cuyo contenido (aparentemente) no es accesible para el DOM de la página externa. Ha habido algunos problemas con eso en el pasado, pero parece que la gente ha avanzado, por lo que presumiblemente los problemas se han solucionado.

Más interesante que los anuncios, sin embargo, es el mismo principio que se aplica a los complementos sociales de Facebook. Los complementos insertarán texto como "A tu amigo, a Rory Alsop, le gustó esta página" junto con las fotos de tus amigos. Esto significa que si el operador del sitio tiene acceso a ese contenido, entonces él puede determinar quiénes son sus amigos de Facebook y quizás su propia identidad de Facebook.

Esto es mucho más importante que adivinar los males de los anuncios de Google.

    
respondido por el tylerl 07.09.2013 - 02:01
fuente

Lea otras preguntas en las etiquetas

Análisis estático de aplicaciones de Android usando Androguard Implicaciones de seguridad de hospedar Javascript de terceros [duplicado]