https://www.informationsecurity.com.tw/seminar/2024_Business/
https://www.informationsecurity.com.tw/seminar/2024_Business/

觀點

注意canvas的惡意追蹤 小心別洩露個人網路足跡

2014 / 07 / 29
編輯部/編譯
注意canvas的惡意追蹤 小心別洩露個人網路足跡
對許多網路使用者而言,為了保存或對朋友分享曾經瀏覽過的網路內容,往往會在瀏覽器上安裝了一些免費的附加程式,卻忽略了在分享的同時,也可能將個人的網路瀏覽記錄,洩露給有意收集和使用個人資訊的網站業者。

根據KU Leuven and Princeton University的研究顯示,在全球許多知名的網站之中,已經有很多網站使用了一種類似於傳統cookie的技術,只要使用者在瀏覽器上按下了「分享」按鈕,網站就可以追蹤使用者在網路所走過的足跡。

這項技術叫做「canvas fingerprinting」,它使用了特別的腳本語言(scripts),可以引導使用者的瀏覽器,自動向網站提供圖片和文字資訊。當使用者進入採用了追蹤技術的網站,它就會要求瀏覽器提供一個被隱藏的影像檔,並且指示瀏覽器去讀取圖片所內含的相關資訊。這些重要資訊包括了使用者的瀏覽器類型、電腦安裝的顯示卡、系統字型和螢幕顯示的設定等。由於每個使用者的電腦配備和相關設定都可能不同,因此就讓它成為一種可被追蹤的個人識別方式,就像個人的指紋一樣。

一旦這些資訊被網站獲取了,業者就可以建立起個人的識別方式,這就像傳統儲存在電腦用來追蹤瀏覽行為的cookie一樣。只是為了保護個人的隱私,使用者可以選擇不接受cookie或是把它直接清除,但是針對canvas fingerprinting的指紋式追蹤,目前仍沒有一個簡單容易的應對方案。

在2012年,canvas fingerprinting還是理論上可用來追蹤使用者網路行為的一種方法,如今卻已被廣泛地使用在真實世界的網站中。在這項研究裡,研究者總共掃描了10萬個世界知名的網站,發現有5542個網站已經使用了canvas fingerprinting的追蹤技術,而且有95%的資料蒐集腳本最後都指向了一家叫做AddThis的公司,它是目前世界上最大的一個內容分享平台網站,提供使用者可以免費在瀏覽器上安裝附加程式,以便新增「分享」的按鈕,讓使用者更容易地和朋友進行內容分享。

對此,AddThis承認已經測試並使用了canvas fingerprinting達五個月之久, 但所獲得的資訊僅供內部研究之用,有關追蹤的功能也已經在本月稍早前關閉了,而為了尊重使用者的隱私,未來也將提供更多的說明資訊在有關追蹤功能的測試上。

對於如何防範個人的網路行為被網站追蹤,研究者指出,canvas fingerprinting是非常先進的一種追蹤技術,目前只有一種瀏覽器Tor可以避免執行canvas fingerprinting的腳本,但也會產生在效能、功能和網頁內容顯示的問題。Abine的技術長Andrew Sudbury則表示,使用者也可以利用DoNotTrackMe工具來禁止瀏覽器回傳追蹤資訊給AddThis,其他還包括AdBlock和EasyPrivacy filter等工具也能達到同樣保護個人隱私的目的。不過,這些可能都只適用於懂得安裝設定的進階使用者,一般大眾可能仍難以防範網路隱私可能外洩的問題。

針對業者未經同意就使用追蹤技術的問題,研究者呼籲社會大眾應當重視有關個人網路隱私的問題,對於已經佈署這項技術的企業,也應當盡到告知大眾的義務,並且審慎合理地使用這種網路行為追蹤技術。