標籤:

解密:全球超過400個知名網站正在記錄你的每一個擊鍵過程

網路跟蹤比你想的更具侵略性

每天喜歡泡在網上的人應該都能夠理解這樣一個現象:許多網站會記錄用戶的訪問信息以及他們瀏覽過的頁面。例如,當你在零售商的網站上搜索一雙鞋的時候,網站會自動記錄你的喜好,然後第二天,你可能就會在Instagram或其他社交媒體網站上看到類似的,符合你興趣的廣告頁面。

網站跟蹤記錄用戶的信息並不是什麼新鮮事,但是近日,普林斯頓大學發布的研究結果表明,在線跟蹤比大多數用戶理解的更具侵略性。普林斯頓信息技術戰略中心(CITP)的3名研究人員在一篇主題為「無邊界」的報告中解釋了「世界上許多知名網站是如何運行第三方腳本來跟蹤你的擊鍵信息,並將這些信息發送給第三方伺服器中的。」

一般來說,一些訪問量大的網站中運行的軟體能夠記錄用戶每一次的擊鍵信息,包括你輸入的每個按鍵,和點擊的每個頁面。研究人員的調查結果顯示,如果你瀏覽進一個網站,並開始填寫一個表格,即便你中途放棄,你輸入的每個字母仍然會被記錄下來。如果你不小心將某些從表單中複製下來的內容粘貼到剪貼板中,這些信息也會被記錄下來。

早在2013年,Facebook用戶就曾憤怒地發現,社交網路正在做類似的事情——它們會記錄用戶輸入的信息,即便他們永遠不會將這些信息發布出來。

跟蹤你的元兇——「會話回放」腳本

這些腳本,或網站運行的代碼被稱為「會話回放」(session replay)腳本,這些腳本主要用於幫助公司了解其客戶如何使用他們的網站,以及用於識別混淆的網頁。但是,這些腳本不僅僅是聚合一般的統計數據,還能夠回放單獨的瀏覽會話。一般來說,並非每個頁面上都會運行這種腳本,只有那些用戶會輸入敏感信息(如密碼和醫療信息)的頁面上才會植入腳本。

研究人員之一的Steve Englehardt表示,用戶一般很難理解究竟發生了什麼事情,除非他們對隱私政策有非常深入地研究,但是我很高興,用戶將通過本文意識到這一點!

研究人員表示,最令人擔憂的現實是,「信息會話回放」腳本能夠收集那些「人們期待被匿名處理」的信息。一些提供這種軟體的公司(如FullStory)所設計的跟蹤腳本,甚至允許網站所有者將他們收集的錄音鏈接到用戶的真實身份。在後端,公司可以看到與用戶相對應的特定電子郵件或名稱等信息。對此,FullStory公司沒有給出任何回復。

為了進一步深入研究,3名研究人員——Englehardt、Gunes Acar和Arvind Narayanan針對目前市場上最為流行的7個「會話回放」軟體供應商進行了研究,這7家公司包括FullStory、SessionCam、Clicktale、Smartlook、UserReplay、Hotjar,以及俄羅斯最受歡迎的搜索引擎Yandex。

他們從7家公司中挑選了6家進行實驗,設置了測試頁面並安裝「會話回放」腳本,調查結果顯示,根據這些公司的Alexa排名,它們中至少有一家公司的「會話回放」腳本正在被全球排名Top5000的網站中的482個所使用。

使用這些腳本的知名企業包括Bonobos.comWalgreens.com以及金融投資公司Fidelity.com。值得注意的是,482很可能只是一個被低估的數字。研究人員表示,這些腳本很可能不會記錄每個訪問網站的用戶,所以當他們進行測試時,有一些腳本可能沒有檢測到,因為它們尚未被激活。使用「會話回放」腳本的主流網站如下所示(點擊查看完整表單):

自從普林斯頓大學的研究人員發表其研究成果以來,Bonobos和Walgreens公司都已經表示將停止運行「會話回放」腳本,其中,Walgreens公司發言人表示,

我們非常重視對客戶數據的保護,目前公司正在調查普林斯頓大學研究報告中提及的問題。當我們發現報告中提到的問題後,已經停止了與FullStory公司共享數據的行為。

Bonobos公司目前沒有做出任何回應,但是該公司相關人士表示,

為了重新評估我們的協議和運營方面的服務,公司已經停止與FullStory公司進行數據共享。我們將不斷評估和加強系統及流程的安全,以保護我們客戶的數據。

Fidelity公司並沒有表示會停止使用「會話回放」腳本,但是其發言人在一份聲明中表示,

我們不評論我們與供應商或公司的關係(原文如此),但我們最重要的一個宗旨就是保護客戶信息。

安全風險分析

研究人員表示,銷售「會話回放」腳本的公司提供了許多編輯工具,允許網站從記錄中排除敏感內容,有些甚至明確禁止收集用戶數據。儘管如此,世界上許多知名網站使用的「會話回放」腳本仍然造成了嚴重的隱私安全風險。

研究人員在報告中寫道,

通過第三方『會話回放』腳本收集頁面內容可能會導致敏感信息(如醫療信息、信用卡詳細信息以及其他個人信息)顯示在頁面上,並作為記錄的一部分泄漏給第三方。

雖然,腳本會排除敏感信息(如密碼等),但是有時候密碼會意外地包含在錄音中。研究人員發現,其他個人信息通常也是沒有被編輯在內,或只被部分編輯。其中兩家使用「會話回放」腳本的公司——UserReplay和SessionCam都是默認阻止收集用戶輸入信息的,他們只是跟蹤用戶點擊的信息,這是一種更安全的方法。

但是,不僅僅是用戶輸入的重要信息會非常敏感,在登錄網站時,屏幕上顯示的內容也可能是非常敏感的。但是研究人員發現,似乎沒有一家公司默認「提供顯示內容的自動編輯」;所有顯示的內容都存在會被泄漏的風險。

例如,研究人員測試了Walgreens.com,該公司曾經運行過FullStory公司的腳本。儘管Walgreens確實使用了許多由FullStory提供的編輯功能,但研究人員發現,該公司仍然正在通過「會話回放」腳本收集諸如醫療和處方信息以及用戶的真實姓名等。

最後,研究人員還指出,使用「會話回放」腳本的公司可能更易遭到針對性攻擊,因為它們往往是具有高價值的公司。例如,許多這類公司中都有儀錶盤,客戶可以在其中回放他們收集的記錄。但是,測試結果顯示,Yandex、Hotjar和Smartlook的儀錶板運行的都是非加密的HTTP頁面,而不是更安全的、加密的HTTPS頁面,這可能會導致「中間人攻擊」,通過在「回放」頁面中注入腳本來提取所有的記錄數據。

作為對此事的回應,在一封電子郵件聲明中,Yandex公司發言人表示,其公司正在試圖使用HTTPS,並即將更新其產品,以後不會再使用HTTP。截至目前,HotJar和UserReplay公司尚未發表任何聲明,Clicktale和Smartlook也沒有對此事進行回應。

最後,需要提醒用戶的是,在網路上跟蹤我們的不僅僅只有「會話回放」腳本。今年早些時候的一份研究報告顯示,全球1000多個最受歡迎的網站正在使用相同的跟蹤軟體以各種方式監控用戶的在線行為。

如果你想要阻止「會話回放」腳本,目前流行的廣告攔截工具AdBlock Plus就可以保護您免受普林斯頓研究報告中記錄的所有攻擊。AdBlock Plus軟體以前只能阻止部分行為,但現在已經實現更新,可以阻止所有研究報告中提到的威脅。

本文翻譯自:motherboard.vice.com/en,如若轉載,請註明原文地址: 4hou.com/info/news/8638 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

「周二補丁日」,微軟修復影響Windows系統的48個安全漏洞
反取證、密碼學、逆向工程軟體…… 10大最好的網路安全Reddit都在這兒
維基解密又雙叒叕曝光了 CIA 針對 Mac 和 Linux 的 3 個黑客工具
數學中的戰爭,戰爭中的數學——漫談密碼(2)

TAG:信息安全 |