Với việc các nhà sản xuất trình duyệt thường xuyên kiềm chế sự theo dõi của bên thứ ba, các công ty công nghệ quảng cáo đang ngày càng áp dụng kỹ thuật DNS để tránh những biện pháp phòng thủ như vậy, do đó gây ra mối đe dọa đối với bảo mật và quyền riêng tư của web.
Gọi là CNAME Che giấu, việc làm mờ sự phân biệt giữa cookie của bên thứ nhất và bên thứ ba không chỉ dẫn đến việc rò rỉ thông tin cá nhân nhạy cảm mà người dùng không biết và đồng ý mà còn “tăng [the] một nhóm các nhà nghiên cứu Yana Dimova, Gunes Acar, Lukasz Olejnik, Wouter Joosen và Tom Van Goethem cho biết trong nghiên cứu mới nhất.
“Sơ đồ theo dõi này tận dụng bản ghi CNAME trên một tên miền phụ sao cho nó là cùng một trang với trang web bao gồm”, các nhà nghiên cứu nói trong bài báo. “Do đó, các biện pháp bảo vệ chặn cookie của bên thứ ba không hiệu quả.”
Các phát hiện dự kiến sẽ được trình bày vào tháng 7 tại Hội nghị chuyên đề về công nghệ nâng cao quyền riêng tư lần thứ 21 (PETS 2021).
Sự gia tăng của các biện pháp chống theo dõi
Trong bốn năm qua, tất cả các trình duyệt chính, ngoại trừ đáng chú ý là Google Chrome, đã bao gồm các biện pháp đối phó để hạn chế sự theo dõi của bên thứ ba.
Apple thiết lập quả bóng lăn bằng một tính năng Safari được gọi là Bảo vệ theo dõi thông minh (ITP) vào tháng 6 năm 2017, thiết lập tiêu chuẩn bảo mật mới trên máy tính để bàn và thiết bị di động để giảm theo dõi trang web chéo bằng cách “hạn chế hơn nữa cookie và dữ liệu trang web khác.” Hai năm sau, nhà sản xuất iPhone vạch ra một kế hoạch riêng mang tên “Bảo mật Bảo mật Phân bổ Nhấp chuột Quảng cáo“để đặt quảng cáo trực tuyến ở chế độ riêng tư.
Mozilla sau đó bắt đầu chặn cookie của bên thứ ba trong Firefox theo mặc định kể từ tháng 9 năm 2019 thông qua một tính năng được gọi là Bảo vệ theo dõi nâng cao (ETP) và vào tháng 1 năm 2020, trình duyệt Edge dựa trên Chromium của Microsoft làm theo. Sau đó, vào cuối tháng 3 năm 2020, Apple cập nhật ITP với chặn toàn bộ cookie của bên thứ ba, trong số các tính năng khác nhằm cản trở việc lấy dấu vân tay đăng nhập.
Mặc dù vào đầu năm ngoái, Google đã công bố kế hoạch loại bỏ cookie và trình theo dõi của bên thứ ba trong Chrome để ủng hộ một khuôn khổ mới có tên là “hộp cát riêng tư, “nó sẽ không phát hành trực tuyến cho đến một lúc nào đó vào năm 2022.
Trong thời gian chờ đợi, gã khổng lồ tìm kiếm đã tích cực làm việc với các công ty công nghệ quảng cáo để thay thế được đề xuất có tên là “Dovekey“có vẻ như để thay thế chức năng được cung cấp bởi theo dõi trên nhiều trang web bằng cách sử dụng các công nghệ tập trung vào quyền riêng tư để phân phát quảng cáo được cá nhân hóa trên web.
CNAME Che giấu như một kế hoạch chống theo dõi trốn tránh
Đối mặt với những rào cản loại bỏ cookie này để tăng cường quyền riêng tư, các nhà tiếp thị đã bắt đầu tìm kiếm những cách thay thế để né tránh lập trường chuyên chế của các nhà sản xuất trình duyệt chống lại theo dõi trên nhiều trang web.
Nhập kỹ thuật che giấu tên chuẩn (CNAME), trong đó các trang web sử dụng tên miền phụ của bên thứ nhất làm bí danh cho tên miền theo dõi của bên thứ ba thông qua bản ghi CNAME trong cấu hình DNS của họ để vượt qua trình chặn trình theo dõi.
Bản ghi CNAME trong DNS cho phép ánh xạ miền hoặc miền phụ sang miền khác (tức là bí danh), do đó làm cho chúng trở thành phương tiện lý tưởng để đánh cắp mã theo dõi dưới vỏ bọc của miền phụ của bên thứ nhất.
“Điều này có nghĩa là chủ sở hữu trang web có thể định cấu hình một trong các tên miền phụ của họ, chẳng hạn như sub.blog.example, để phân giải thành thirdParty.example, trước khi phân giải thành địa chỉ IP”, kỹ sư bảo mật của WebKit John Wilander giải thích. “Điều này xảy ra bên dưới lớp web và được gọi là kỹ thuật che giấu CNAME – miền thứ baParty.example được che giấu dưới dạng sub.blog.example và do đó có quyền hạn tương tự như bên thứ nhất thực sự.”
Nói cách khác, kỹ thuật che giấu CNAME làm cho mã theo dõi trông giống như mã của bên thứ nhất trong khi thực tế thì không, với tài nguyên phân giải thông qua CNAME khác với tài nguyên của miền bên thứ nhất.
Không có gì ngạc nhiên khi chương trình theo dõi này đang nhanh chóng đạt được sức hút, tăng 21% trong 22 tháng qua.
Bánh quy
Rò rỉ thông tin nhạy cảm cho người theo dõi
Trong nghiên cứu của họ, các nhà nghiên cứu đã phát hiện ra kỹ thuật này được sử dụng trên 9,98% trong số 10.000 trang web hàng đầu, ngoài ra còn phát hiện ra 13 nhà cung cấp “dịch vụ” theo dõi như vậy trên 10.474 trang web.
Hơn nữa, nghiên cứu còn trích dẫn một “cách xử lý có mục tiêu đối với trình duyệt web Safari của Apple”, trong đó công ty công nghệ quảng cáo Criteo đặc biệt chuyển sang kỹ thuật che giấu CNAME để vượt qua các biện pháp bảo vệ quyền riêng tư trong trình duyệt.
Cho rằng Apple đã tung ra một số phòng thủ dựa trên tuổi thọ để che giấu CNAME, điều này Phát hiện có khả năng phản ánh nhiều hơn các thiết bị không chạy iOS 14 và macOS Big Sur hỗ trợ tính năng này.
Có lẽ điều đáng lo ngại nhất trong số các tiết lộ là rò rỉ dữ liệu cookie đã được tìm thấy trên 7.377 trang web (95%) trong số 7.797 trang web sử dụng theo dõi CNAME, tất cả đều gửi cookie chứa thông tin cá nhân như tên đầy đủ, vị trí, địa chỉ email và thậm chí là các cookie xác thực để theo dõi các tên miền khác mà không cần xác nhận rõ ràng của người dùng.
“Nó thậm chí còn thực sự nực cười, bởi vì tại sao người dùng lại đồng ý để trình theo dõi của bên thứ ba nhận dữ liệu hoàn toàn không liên quan, bao gồm cả tính chất nhạy cảm và riêng tư?” hỏi Olejnik.
Với nhiều trình theo dõi CNAME được bao gồm qua HTTP trái ngược với HTTPS, các nhà nghiên cứu cũng đưa ra khả năng rằng một yêu cầu gửi dữ liệu phân tích tới trình theo dõi có thể bị chặn bởi kẻ thù độc hại trong cuộc tấn công man-in-the-middle (MitM).
Hơn nữa, bề mặt tấn công gia tăng được đặt ra bằng cách bao gồm một trình theo dõi như cùng một trang web có thể làm lộ dữ liệu của khách truy cập trang web cố định phiên và các cuộc tấn công kịch bản trên nhiều trang web, họ cảnh báo.
Các nhà nghiên cứu cho biết họ đã làm việc với các nhà phát triển trình theo dõi để giải quyết các vấn đề nói trên.
Giảm thiểu kỹ thuật che giấu CNAME
Trong khi Firefox không cấm che giấu CNAME ra khỏi hộp, người dùng có thể tải xuống một tiện ích bổ sung như uBlock Origin để chặn những trình theo dõi lén lút của bên thứ nhất. Thật tình cờ, ngày hôm qua công ty đã bắt đầu tung ra Firefox 86 với Bảo vệ toàn bộ cookie ngăn chặn theo dõi trang web chéo bằng cách “giam[ing] tất cả cookie từ mỗi trang web trong một lọ cookie riêng biệt. “
Mặt khác, iOS 14 và macOS Big Sur của Apple đi kèm với các biện pháp bảo vệ bổ sung được xây dựng dựa trên tính năng ITP của nó để bảo vệ việc che giấu CNAME của bên thứ ba, mặc dù nó không cung cấp phương tiện để vạch mặt miền trình theo dõi và chặn nó ngay từ đầu. .
“ITP hiện phát hiện các yêu cầu che giấu CNAME của bên thứ ba và giới hạn thời hạn sử dụng của bất kỳ cookie nào được đặt trong phản hồi HTTP là bảy ngày”, Wilander nêu chi tiết trong một bài viết vào tháng 11 năm 2020.
Cũng vậy Trình duyệt dũng cảm, mà tuần trước đã phải phát hành các bản sửa lỗi khẩn cấp đối với một lỗi xuất phát từ việc thêm tính năng chặn quảng cáo dựa trên CNAME và trong quá trình này, đã gửi các truy vấn cho miền .onion tới các trình phân giải DNS internet công cộng thay vì thông qua các nút Tor.
Chrome (và theo tiện ích mở rộng, các trình duyệt dựa trên Chromium khác) là thiếu sót rõ ràng duy nhất, vì nó không chặn việc che giấu CNAME nguyên bản cũng như giúp các tiện ích của bên thứ ba dễ dàng giải quyết các truy vấn DNS bằng cách tìm nạp các bản ghi CNAME trước khi yêu cầu được gửi đi, không giống như Firefox .
“Kỹ thuật theo dõi CNAME mới nổi […] Olejnik nói, né tránh các biện pháp chống theo dõi. Nó đưa ra các vấn đề nghiêm trọng về bảo mật và quyền riêng tư. Dữ liệu người dùng bị rò rỉ, liên tục và nhất quán mà không có sự đồng ý hoặc nhận biết của người dùng. Điều này có khả năng kích hoạt GDPR và các điều khoản liên quan đến Quyền riêng tư điện tử. “
“Theo một cách nào đó, đây là mức thấp mới”, ông nói thêm.
