400多个流行站点记录用户按键等动作 或导致个人敏感信息遭暴露

翻译：360代码卫士团队

你是不是几乎每天都碰到这种情况：前一秒你还在网上搜索东西，下一秒就会看到在另外的网页或社交媒体网站弹出相关广告？

其实，网络追踪并非新事。

多数网站都会记录用户的网络活动，普林斯顿大学信息技术策略中心的研究人员最近发表一项研究指出，数百个站点都在记录你在网上的每个动作，包括搜索行为、滚屏行为、按键行为等等。

研究人员分析了排名前5万的Alexa网站后发现其中482个高级别站点使用一种新型网络追踪技术来追踪用户的每个动作。

这种新技术被称为“会话重放 (Session Replay)”，多数流行站点都在使用，如英国《卫报》站点、路透社、三星、半岛电视台、VK、Adobe、微软和WordPress都在借此记录访客浏览网页的每个动作，随后这种规模巨大的数据被发送给第三方进行分析。

“会话重放脚本”一般只在收集关于用户参与的数据，可让网站开发人员改进终端用户体验。

然而，让人担忧的是，这些脚本不仅记录用户给予网站的信息，还会收集其它信息如用户未点击“提交”按钮前删除的在表单中填写的信息。

研究人员指出，“越来越多的站点都在使用‘会话重放’脚本。这些脚本会记录你的按键、鼠标动作和滚屏行为，以及你所访问网页上的所有内容并将其发送给第三方服务器。第三方重放脚本所收集的网页内容可能导致敏感信息泄露给第三方如医疗情况、信用卡详情等，这就可能导致用户遭受身份被盗、网络欺诈等风险。”

最让人担忧的是，会话重放脚本所收集的这些信息无法“合理地保持匿名状态”。一些提供会话重放软件的企业甚至还允许网站所有人直接将记录跟用户的真实身份相连接。

研究人员查看了一些提供会话重放软件的顶级服务企业如FullStory、SessionCam、Clicktale、Smartlook、UserReplay、Hotjar和Yandex后发现，多数服务会直接从记录中提出密码输入字段。

然而，在多数情况下，通过文本输入来存储未遮盖密码的移动登录表单并未被编辑，从而导致用户敏感信息遭泄露包括密码、信用卡号甚至还包括信用卡安全码。而这些信息会跟其它信息一起供第三方分析。

虽然有很多顶级公司使用会话重放脚本是出于最良好的意图，但由于这些数据是在未经用户知悉或在未给用户可视化提示的情况下收集的，因此这些站点并未重视用户的隐私。

另外，这些数据总有可能会掉入恶意之手。

除了未经用户同意外，负责某些站点收集行为的人员甚至并不知晓这些脚本是如何实现的，这就让事情变得让人恐慌了。

使用这些软件的企业包括《卫报》、路透、三星、半岛电视台、VK、Adobe、微软、WordPress、CBS新闻、《每日电讯报》和美国零售巨头家得宝等。

因此，如果你正在登陆这些网站的话，你可能要做好准备：你写的每个字、输入的每个词或者做出的每个动作都正在遭到记录。

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。

原文链接：

https://thehackernews.com/2017/11/website-keylogging.html