浏览器的密码管理软件出现漏洞，广告商可透过漏洞窃取密码！

网络让大家变得平等，很多隐私容易曝光在上面，也容易被有心人暗中搜集，特别是密码这种东西也是如此。为了保护自己的账号，网络上有太多地方需要设置密码，但密码一多就变得难以记住，加上密码通常都需要一定的数量跟复杂度，这使得密码管理软件的重要性大大提升。但最近普林斯顿大学的信息技术策略中心却警告，这些基于浏览器进行密码储存管理的软件都有被窃取密码的风险，容易被网络上的广告商利用这些密码来追踪使用者的行为。

无论是1Password或是Lastpass，这些软件对于许多苦于密码管理的人来说是个解脱，他们利用简单的机制跟严密的安全密码来帮助使用者管理自己的网络密码。过去这些软件总给人一种保险库的印象，两种软件的防护方式不尽相同，所需费用也不太一样，但功能大致上是相似的。

通常听到密码被窃取时，一般都是黑客攻破了哪家企业的服务器，不过这边却是以不一样的方式来窃取密码，漏洞主要的来源是基于浏览器技术的方式撷取密码。一般来说，如果我们在浏览器中开启“自动登陆”或“自动填写表格”之类的功能时，这段过程的账号跟密码是会被侧录成功的。一旦被侧录并记录起来后，就可以堂而皇之的破解这些密码管理软件的管理界面，取得使用者的浏览信息跟帐号密码。

在这些追踪别人账号密码的网站中，不乏Alexa世界排名前100万的网站，透过这些方式入侵管理软件取得密码的Script会将数据传给这些有意查询数据的广告公司，让他们能够确实掌握到使用者的喜好、搜查的内容、常登陆的网站与密码，达到追踪使用者踪迹的目的。

普林斯顿大学研究团队也设计了一个从浏览器自动填写功能中偷出数据的展示网页，只要随意输入电子邮件跟假密码，网页都会忠实的呈现刚才输入的数据；换句话说，一部分浏览器的自动填写功能帮助这些公司获取了使用者重要的隐私信息，并且偷得神不知鬼不觉。

对此，该研究团队认为，这些密码管理软件应该时常更新，浏览器的自动填写功能固然方便，但对于重要的隐私信息来说，并不适合使用这样的工具来记录。特别是密码，往往牵扯到使用者平时上网所使用的服务，若信息落入到有心破坏的黑客手上，轻则账号被盗，重则影响到亲戚朋友，是一件不可不严肃面对的事。