Memandangkan pengeluar penyemak imbas terus mengehadkan penjejakan pihak ketiga, syarikat teknologi iklan semakin menggunakan DNS untuk memintas pertahanan sedemikian, yang menimbulkan ancaman kepada keselamatan dan privasi web.
Amalan itu, yang dipanggil penyamaran CNAME, mempunyai kesan mengaburkan perbezaan antara kuki pihak pertama dan pihak ketiga, bukan sahaja membocorkan maklumat peribadi sensitif tanpa pengetahuan dan persetujuan pengguna, tetapi juga “meningkatkan [the] ancaman keselamatan web,” kata sekumpulan penyelidik Yana Dimova, Gunes Acar, Lukasz Olejnik, Wouter Joosen dan Tom Van Goethem dalam satu kajian baharu.
“Skim penjejakan ini menggunakan rekod CNAME pada subdomain supaya ia adalah halaman yang sama dengan tapak web yang terlibat,” kata penyelidik dalam kertas itu. “Langkah pertahanan yang menyekat kuki pihak ketiga adalah tidak berkesan.”
Penemuan itu dijangka dibentangkan pada Simposium Teknologi Peningkatan Privasi ke-21 (PETS 2021) pada bulan Julai.
Peningkatan dalam langkah anti-pemantauan
Sepanjang empat tahun yang lalu, semua penyemak imbas utama, kecuali Google Chrome, telah menyertakan langkah balas untuk mengehadkan penjejakan pihak ketiga.
Apple pada Jun 2017, ia menetapkan bola bergolek dengan ciri Safari yang dipanggil Perlindungan Penjejakan Pintar (ITP), yang menetapkan standard baharu untuk privasi pada desktop dan peranti mudah alih untuk mengurangkan penjejakan merentas tapak dengan “menghadkan lagi kuki dan data tapak web lain.” Dua tahun kemudian, pembuat iPhone menggariskan pelan berasingan yang dipanggil “Privacy-Preserving Ad Click Attribution” untuk memastikan iklan dalam talian peribadi.
Mozilla kemudiannya mula menyekat kuki pihak ketiga secara lalai dalam Firefox bermula pada September 2019 melalui ciri yang dipanggil Perlindungan Penjejakan Dipertingkat (ETP), diikuti oleh pelayar Edge berasaskan Microsoft Chromium pada Januari 2020.
Kemudian pada penghujung Mac 2020 Apple ITP dikemas kini dengan penyekatan penuh kuki pihak ketiga, antara ciri lain yang bertujuan untuk mengalahkan cap jari log masuk.
Walaupun Google mengumumkan rancangan untuk menghapuskan kuki dan penjejak pihak ketiga secara berperingkat dalam Chrome pada awal tahun lalu demi rangka kerja baharu yang dipanggil “kotak pasir privasi”, ia tidak dijangka akan disiarkan secara langsung sehingga pada tahun 2022.
Sementara itu, gergasi carian sedang aktif bekerjasama dengan syarikat teknologi iklan untuk penggantian yang dicadangkan yang dipanggil “Dovekey,” yang bertujuan untuk menggantikan ciri yang disediakannya dengan penjejakan merentas tapak dengan menggunakan teknologi yang memfokuskan privasi untuk menyiarkan iklan yang diperibadikan di web.
Melindungi CNAME sebagai skim penjejakan anti-kebocoran
Berhadapan dengan halangan kepada kuki yang membunuh privasi ini, pemasar telah mula mencari cara alternatif untuk mengelakkan pendirian mutlak pembuat penyemak imbas terhadap penjejakan merentas tapak.
Tentukan penyamaran nama kanonik (CNAME), di mana tapak web menggunakan subdomain pihak pertama sebagai alias untuk domain penjejakan pihak ketiga melalui rekod CNAME dalam konfigurasi DNS untuk mengelakkan penyekat penjejakan.
Rekod CNAME dalam DNS membenarkan domain atau subdomain dipetakan kepada yang lain (iaitu alias), menjadikannya cara ideal untuk menyelinap kod penjejakan di bawah samaran subdomain pihak pertama.
“Ini bermakna pemilik tapak boleh mengkonfigurasi salah satu subdomain mereka, seperti sub.blog.example, untuk menyelesaikan kepada thirdParty.example sebelum menyelesaikan ke alamat IP,” jelas Jurutera Keselamatan WebKit John Wilander. “Ini berlaku di bawah lapisan web dan dipanggil CNAME menyamar – domain.example pihak ketiga menyamar sebagai sub.blog.example dan oleh itu mempunyai kuasa yang sama seperti domain pihak pertama yang sebenar.”
Dalam erti kata lain, penyamaran CNAME menjadikan kod penjejakan kelihatan sebagai kod pihak pertama sedangkan ia sebenarnya tidak, dengan sumber diselesaikan melalui CNAME yang berbeza daripada sumber domain pihak pertama.
Tidak mengejutkan, skim penjejakan ini semakin menarik perhatian, berkembang 21% dalam tempoh 22 bulan yang lalu.
Kuki menghantar maklumat sensitif kepada penjejak
Dalam kajian mereka, penyelidik mendapati bahawa teknik ini digunakan oleh 90.98% daripada 10,000 laman web teratas, di samping itu, mereka menemui 13 penyedia “perkhidmatan” penjejakan tersebut di 10,474 laman web.
Lebih-lebih lagi, kajian itu memetik “layanan yang disasarkan bagi penyemak imbas web Safari Apple,” di mana syarikat teknologi iklan Criteo secara khusus beralih kepada penyamaran CNAME untuk memintas perlindungan privasi penyemak imbas.
Memandangkan itu Apple telah melaksanakan beberapa perlindungan berasaskan seumur hidup untuk penyamaran CNAME, penemuan ini mungkin lebih mencerminkan peranti yang tidak menjalankan iOS 14 dan macOS Big Sur, yang menyokong ciri ini.
Mungkin pendedahan yang paling mengganggu ialah kebocoran data kuki telah ditemui 7.377 tapak (95%) daripada sejumlah 7797 tapak menggunakan penjejakan CNAME, yang kesemuanya menghantar kuki yang mengandungi maklumat peribadi seperti nama penuh, lokasi, alamat e-mel dan juga kuki pengesahan kepada penjejak domain lain tanpa pengesahan jelas pengguna .
“Ia bahkan tidak masuk akal, kerana mengapa pengguna membenarkan penjejak pihak ketiga menerima data yang tidak berkaitan sama sekali, termasuk data sensitif dan peribadi?” Olejník bertanya.
Dengan banyak penjejak CNAME disertakan melalui HTTP berbanding HTTPS, penyelidik juga menimbulkan kemungkinan bahawa permintaan menghantar data analitik kepada penjejak boleh dipintas oleh musuh yang berniat jahat dalam serangan lelaki di tengah (MitM).
Di samping itu, peningkatan permukaan serangan yang ditimbulkan dengan memasukkan penjejak sebagai tapak web yang sama boleh mendedahkan data pelawat tapak web kepada pembetulan sesi dan serangan skrip merentas tapak, mereka memberi amaran.
Para penyelidik berkata mereka bekerjasama dengan pembangun penjejak untuk menangani isu di atas.
Pengurangan penyamaran CNAME
Walaupun Firefox tidak melarang CNAME menutup di luar kotak, pengguna boleh memuat turun pemalam seperti uBlock Origin untuk menyekat penjejak pihak pertama yang licik itu.
By the way, syarikat itu semalam mula melancarkan Firefox 86 dengan Perlindungan Kuki Jumlah, yang menghalang penjejakan merentas tapak “confin[ing] semua kuki daripada setiap tapak web dalam balang kuki yang berasingan.”
Sebaliknya, sistem iOS 14 dan macOS Big Sur Apple datang dengan langkah keselamatan tambahan yang membina ciri ITPnya untuk melindungi daripada penyamaran CNAME pihak ketiga, walaupun mereka tidak menawarkan cara untuk membuka topeng domain penjejakan dan menyekatnya dalam tempat pertama.
“ITP kini mengesan permintaan penyamaran CNAME pihak ketiga dan mengehadkan tamat tempoh semua kuki yang ditetapkan dalam respons HTTP kepada tujuh hari,” Wilander menerangkan dalam siaran November 2020.
Begitu juga dengan penyemak imbas Brave, yang minggu lepas terpaksa mengeluarkan pembetulan kecemasan untuk pepijat yang timbul daripada menambah ciri penyekatan iklan berasaskan CNAME dan dalam proses menghantar pertanyaan untuk domain .onion kepada penyelesai DNS awam Internet dan bukannya nod Tor. .
Chrome (dan dengan sambungan penyemak imbas berasaskan Chromium yang lain) adalah satu-satunya peninggalan yang jelas, kerana ia tidak menyekat penyamaran CNAME secara asli atau memudahkan sambungan pihak ketiga menyelesaikan pertanyaan DNS dengan mengambil rekod CNAME sebelum menghantar permintaan tidak seperti Firefox. .
“Teknik Penjejakan CNAME yang Muncul […] mengelak langkah anti-pemantauan,” kata Olejnik.
“Ia memperkenalkan isu keselamatan dan privasi yang serius.
Data pengguna sentiasa dan konsisten bocor tanpa pengetahuan atau persetujuan pengguna.
Ini mungkin mencetuskan klausa GDPR dan ePrivasi.”
“Dalam satu cara, ia adalah tahap rendah baharu,” tambahnya.
