用户隐私新威胁:UID走私

几十年来,互联网广告商和网络跟踪软件主要通过浏览器第三方cookie来跟踪用户信息。两年前,一些优先考虑用户隐私的浏览器开始默认阻止第三方cookie。对于代表其他公司在网络上投放广告并依靠cookie跟踪点击率以确定广告佣金的企业来说,这带来了一个重大问题。

广告商的对策是发明一种在网络上跟踪用户的新方法,称为用户ID走私(UID Smuggle),不需要第三方cookie。但没有人确切知道这种方法在互联网上跟踪用户的频率。

近日,加州大学圣地亚哥分校的研究人员首次通过开发一种名为CrumbCruncher的测量工具来量化野外UID走私的频率。CrumbCruncher像普通用户一样浏览网络,但在此过程中,它会跟踪被UID走私跟踪的次数。研究人员发现,CrumbCruncher在8%的网页浏览中发现了UID走私跟踪活动。该团队还发布了他们完整的数据集和测量管道,供浏览器开发人员使用。

该团队的主要目标是提高浏览器开发人员对这个问题的认识,论文的第一作者,加州大学圣地亚哥分校计算机科学博士生奥黛丽兰德尔指出:“UID走私的使用比我们预期的要广泛,但其对用户隐私的威胁我们几乎一无所知。”

用户ID走私的工作原理

研究人员说,UID走私可能有合法用途。例如,在URL中嵌入用户ID可以让网站意识到用户已经登录,这意味着他们可以跳过登录页面并直接导航到内容。

UID也可以是不同网站用来跟踪用户流量的工具。当然,它也可以是联盟广告商跟踪流量并获得报酬的工具。例如,如果用户点击链接进行购买,使用联盟链接推广产品的博主可能会获得佣金。UID走私可以帮助确定哪个博主应该获得佣金。

但研究人员担心潜在的更危险的用途。例如,数据代理可以使用UID走私来收集用户的网页浏览记录数据库。

研究人员还做了一个小测试,手动阻止了几次网页浏览中的UID走私。他们发现这对网站功能的影响其实很小。研究团队的后续工作可能包括开发阻止UID的工具。但研究人员警告说,这可能只是猫捉老鼠的隐私游戏中的新剧本。

“无论我们做什么,除非我们能找到一种解决方案,让广告行业在保持盈利的同时仍然保护用户隐私,否则游戏不会结束。”论文第一作者兰德尔说道。

参考链接:

https://audrey-randall.github.io/

前一篇2023年五大免费在线网络安全课程
后一篇阿里云香港服务器“史诗级”宕机