研究發現:不靠 cookie,網站也能通過 TLS 協議追蹤你

研究發現:不靠 cookie,網站也能通過 TLS 協議追蹤你

由於隱私瀏覽器技術的日漸成熟,網站越來越無法通過 Cookie 和網頁瀏覽器特徵來追蹤用戶,但道高一尺魔高一丈,現在這些網站會用 TLS 1.3 中的 TLS 對話恢復機制追蹤用戶。

你以為禁用瀏覽器 Cookie 就能避免被網站追蹤嗎?倡導將 Cookie 追蹤選擇權還給用戶的說法,可能只是煙霧彈,實際上仍能使用最新 TLS 1.3 傳輸層安全協議追蹤用戶。

目前網站追蹤用戶的手段,比較流行的仍然是 Cookie 或通過網頁瀏覽器特徵進行辨識,而較少受到關注的技術是基於傳輸層安全協議(Transport Layer Security,TLS)的用戶跟蹤,特別是使用 TLS 對話恢復(TLS Session Resumption)機制,而漢堡大學研究員率先對 TLS 對話恢復機制的適用性進行了研究。

包括 Facebook 以及 Google 在內的等公司,過去都會使用 HTTP Cookie 以及網頁瀏覽器特徵追蹤用戶,但隨著用戶越來越注意保護自己的隱私,更多的人開始使用強化隱私的瀏覽器,以隱私模式或是擴展來限制網頁追蹤,這使得上述兩項技術幾乎失靈。另外,通過 IP 位置追蹤用戶也受到限制,因為用戶有可能以 NAT 共享公共 IP 地址,而且網站也無法跨過不同的網絡追蹤裝置。

網站開始把追蹤主意打到最新的TLS 1.3協定上,追蹤技術開始轉向使用TLS對話恢復機制.TLS對話恢復機制允許網站利用早前的TLS對話中交換的密鑰,來縮減TLS握手程序,而這也開啟了讓網站可以鏈結兩個對話的可能性。由於重新啟動瀏覽器會順便清空快取,所以這個方法僅在瀏覽器未重新啟動的情況下,網站才能透過TLS對話恢復進行連續用戶追蹤。但是這個使用習慣在行動裝置完全不同,行動裝置使用者鮮少重新開啟瀏覽器。

網站於是開始把目光瞄向了最新的 TLS 1.3 協議上,它們的追蹤技術開始轉向使用 TLS 對話恢復機制。TLS 對話恢復機制允許網站利用早前的 TLS 對話中交換的密鑰,來縮減 TLS 握手程序,而這也開啟了讓網站可以鏈接兩個對話的可能性。由於重啟瀏覽器會順便清空緩存,所以這個方法僅在瀏覽器未重啟的情況下,網站才能通過 TLS 對話恢復進行連續的用戶追蹤。但是這個使用習慣在移動設備上完全不同,移動設備用戶很少重啟瀏覽器。

漢堡大學研究員系統性地研究了 48 種熱門瀏覽器以及 Alexa 前百萬熱門網站的配置,以評估這些追蹤機制的實際配置以及用戶追蹤可持續時間。研究人員使用了延長攻擊(Prolongation Attack),延長追蹤週期至超過 TLS 對話恢復的生命週期,接著根據額外的 DNS 數據,分析延長攻擊對於追蹤時間的影響,以及可永久追蹤的用戶比例,最終導出用戶的瀏覽行為。

研究顯示,即便標準瀏覽器將 TLS 對話恢復生命週期設置為僅維持一天,用戶仍可以被追蹤長達8天之久,TLS 1.3 草稿版本建議 TLS 對話恢復生命週期為7天上限,研究人員通過 Alexa 資料集中的至少一個網站,便可永久追蹤實驗中的 65% 用戶。

研究人員也觀察到,Alexa 前百萬熱門網站中,有超過 80% 的 TLS 對話恢復生命週期都在 10 分鐘以下,但是大約 10% 的網站使用大於24小時的週期設定,特別是廣告商 —— Google 的 TLS 對話生命週期達28小時,而 Facebook 對話恢復生命週期的設定更是高達48小時,在 Alexa 前百萬熱門網站中位於 99.99 百分位數之上。

漢堡大學研究員指出,要防止網站通過 TLS 對話恢復追蹤用戶,需要修改 TLS 標準和常見瀏覽器的配置,而目前最有效的方式就是完全禁用 TLS 對話恢復功能。


分享到:


相關文章: