导语:网络跟踪比你想的更具侵略性 每天喜欢泡在网上的人应该都能够理解这样一个现象:许多网站会记录用户的访问信息以及他们浏览过的页面。例如,当你在零售商的网站上搜索一双鞋的时候,网站会自动记录你的喜好,然后第二天,你可能就会在Ins
网络跟踪比你想的更具侵略性
每天喜欢泡在网上的人应该都能够理解这样一个现象:许多网站会记录用户的访问信息以及他们浏览过的页面。例如,当你在零售商的网站上搜索一双鞋的时候,网站会自动记录你的喜好,然后第二天,你可能就会在Instagram或其他社交媒体网站上看到类似的,符合你兴趣的广告页面。
网站跟踪记录用户的信息并不是什么新鲜事,但是近日,普林斯顿大学发布的研究结果表明,在线跟踪比大多数用户理解的更具侵略性。普林斯顿信息技术战略中心(CITP)的3名研究人员在一篇主题为“无边界”的报告中解释了“世界上许多知名网站是如何运行第三方脚本来跟踪你的击键信息,并将这些信息发送给第三方服务器中的。”
一般来说,一些访问量大的网站中运行的软件能够记录用户每一次的击键信息,包括你输入的每个按键,和点击的每个页面。研究人员的调查结果显示,如果你浏览进一个网站,并开始填写一个表格,即便你中途放弃,你输入的每个字母仍然会被记录下来。如果你不小心将某些从表单中复制下来的内容粘贴到剪贴板中,这些信息也会被记录下来。
早在2013年,Facebook用户就曾愤怒地发现,社交网络正在做类似的事情——它们会记录用户输入的信息,即便他们永远不会将这些信息发布出来。
跟踪你的元凶——“会话回放”脚本
这些脚本,或网站运行的代码被称为“会话回放”(session replay)脚本,这些脚本主要用于帮助公司了解其客户如何使用他们的网站,以及用于识别混淆的网页。但是,这些脚本不仅仅是聚合一般的统计数据,还能够回放单独的浏览会话。一般来说,并非每个页面上都会运行这种脚本,只有那些用户会输入敏感信息(如密码和医疗信息)的页面上才会植入脚本。
研究人员之一的Steve Englehardt表示,用户一般很难理解究竟发生了什么事情,除非他们对隐私政策有非常深入地研究,但是我很高兴,用户将通过本文意识到这一点!
研究人员表示,最令人担忧的现实是,“信息会话回放”脚本能够收集那些“人们期待被匿名处理”的信息。一些提供这种软件的公司(如FullStory)所设计的跟踪脚本,甚至允许网站所有者将他们收集的录音链接到用户的真实身份。在后端,公司可以看到与用户相对应的特定电子邮件或名称等信息。对此,FullStory公司没有给出任何回复。
为了进一步深入研究,3名研究人员——Englehardt、Gunes Acar和Arvind Narayanan针对目前市场上最为流行的7个“会话回放”软件供应商进行了研究,这7家公司包括FullStory、SessionCam、Clicktale、Smartlook、UserReplay、Hotjar,以及俄罗斯最受欢迎的搜索引擎Yandex。
他们从7家公司中挑选了6家进行实验,设置了测试页面并安装“会话回放”脚本,调查结果显示,根据这些公司的Alexa排名,它们中至少有一家公司的“会话回放”脚本正在被全球排名Top5000的网站中的482个所使用。
使用这些脚本的知名企业包括Bonobos.com、Walgreens.com以及金融投资公司Fidelity.com。值得注意的是,482很可能只是一个被低估的数字。研究人员表示,这些脚本很可能不会记录每个访问网站的用户,所以当他们进行测试时,有一些脚本可能没有检测到,因为它们尚未被激活。使用“会话回放”脚本的主流网站如下所示(点击查看完整表单):
自从普林斯顿大学的研究人员发表其研究成果以来,Bonobos和Walgreens公司都已经表示将停止运行“会话回放”脚本,其中,Walgreens公司发言人表示,
我们非常重视对客户数据的保护,目前公司正在调查普林斯顿大学研究报告中提及的问题。当我们发现报告中提到的问题后,已经停止了与FullStory公司共享数据的行为。
Bonobos公司目前没有做出任何回应,但是该公司相关人士表示,
为了重新评估我们的协议和运营方面的服务,公司已经停止与FullStory公司进行数据共享。我们将不断评估和加强系统及流程的安全,以保护我们客户的数据。
Fidelity公司并没有表示会停止使用“会话回放”脚本,但是其发言人在一份声明中表示,
我们不评论我们与供应商或公司的关系(原文如此),但我们最重要的一个宗旨就是保护客户信息。
安全风险分析
研究人员表示,销售“会话回放”脚本的公司提供了许多编辑工具,允许网站从记录中排除敏感内容,有些甚至明确禁止收集用户数据。尽管如此,世界上许多知名网站使用的“会话回放”脚本仍然造成了严重的隐私安全风险。
研究人员在报告中写道,
通过第三方‘会话回放’脚本收集页面内容可能会导致敏感信息(如医疗信息、信用卡详细信息以及其他个人信息)显示在页面上,并作为记录的一部分泄漏给第三方。
虽然,脚本会排除敏感信息(如密码等),但是有时候密码会意外地包含在录音中。研究人员发现,其他个人信息通常也是没有被编辑在内,或只被部分编辑。其中两家使用“会话回放”脚本的公司——UserReplay和SessionCam都是默认阻止收集用户输入信息的,他们只是跟踪用户点击的信息,这是一种更安全的方法。
但是,不仅仅是用户输入的重要信息会非常敏感,在登录网站时,屏幕上显示的内容也可能是非常敏感的。但是研究人员发现,似乎没有一家公司默认“提供显示内容的自动编辑”;所有显示的内容都存在会被泄漏的风险。
例如,研究人员测试了Walgreens.com,该公司曾经运行过FullStory公司的脚本。尽管Walgreens确实使用了许多由FullStory提供的编辑功能,但研究人员发现,该公司仍然正在通过“会话回放”脚本收集诸如医疗和处方信息以及用户的真实姓名等。
最后,研究人员还指出,使用“会话回放”脚本的公司可能更易遭到针对性攻击,因为它们往往是具有高价值的公司。例如,许多这类公司中都有仪表盘,客户可以在其中回放他们收集的记录。但是,测试结果显示,Yandex、Hotjar和Smartlook的仪表板运行的都是非加密的HTTP页面,而不是更安全的、加密的HTTPS页面,这可能会导致“中间人攻击”,通过在“回放”页面中注入脚本来提取所有的记录数据。
作为对此事的回应,在一封电子邮件声明中,Yandex公司发言人表示,其公司正在试图使用HTTPS,并即将更新其产品,以后不会再使用HTTP。截至目前,HotJar和UserReplay公司尚未发表任何声明,Clicktale和Smartlook也没有对此事进行回应。
最后,需要提醒用户的是,在网络上跟踪我们的不仅仅只有“会话回放”脚本。今年早些时候的一份研究报告显示,全球1000多个最受欢迎的网站正在使用相同的跟踪软件以各种方式监控用户的在线行为。
如果你想要阻止“会话回放”脚本,目前流行的广告拦截工具AdBlock Plus就可以保护您免受普林斯顿研究报告中记录的所有攻击。AdBlock Plus软件以前只能阻止部分行为,但现在已经实现更新,可以阻止所有研究报告中提到的威胁。