隨著瀏覽器制造商逐步抑制第三方跟蹤，廣告技術(shù)公司越來越多地采用DNS技術(shù)來規(guī)避此類抑制，不過這種做法又導(dǎo)致了網(wǎng)絡(luò)安全隱患，對網(wǎng)絡(luò)安全和隱私造成威脅。

在線跟蹤過程

有很多方法可以實現(xiàn)在線跟蹤，例如“ 瀏覽器指紋”，可以使網(wǎng)站更容易在互聯(lián)網(wǎng)上跟蹤用戶。瀏覽器指紋識別功能使網(wǎng)站可以記錄設(shè)備獨有的標識，比如監(jiān)控分辨率和深度，監(jiān)視正在訪問的所有網(wǎng)站，使用的字體和字體等。

所有這些信息都被互聯(lián)網(wǎng)營銷人員拿去來做用戶畫像了，即使你試圖在瀏覽器上使用隱身模式隱藏時，這些信息同樣可以被盜取。

跟蹤人員的最簡單方法是使用Cookies，另一種情況是網(wǎng)站被竊聽。當(dāng)用戶打開網(wǎng)站時，它們在后臺運行著小的看不見的腳本。這些腳本也會收集有關(guān)一些數(shù)據(jù)包括名稱、位置、電子郵件ID、大小、計算機型號、使用的瀏覽器等。

很多時候我們在域名解析的過程中會直接解析到服務(wù)器的IP地址，但這樣做往往會暴漏服務(wù)器的真是IP地址，容易遭到非法的攻擊，但是可以使用CNAME的解析方式來偽裝自己的IP。

不過，不要以為使用了CNAME技術(shù)，你的信息就不會發(fā)生泄漏。目前營銷人員使用了一種被稱為CNAME偽裝(CNAME Cloaking )的攻擊技術(shù)，該技術(shù)模糊了第一方Cookie和第三方Cookie的區(qū)別，不僅導(dǎo)致未經(jīng)用戶了解和同意而泄漏敏感的私人信息，而且增加了網(wǎng)絡(luò)安全威脅的范圍。

研究人員在一篇研究論文中說：“這種跟蹤方案利用了子域上的CNAME記錄，因此與包含的網(wǎng)站位于同一網(wǎng)站。這就會造成阻止第三方Cookie的防御措施將失效。”

該研究結(jié)果有望在7月的第21屆隱私增強技術(shù)研討會(PETS 2021)上發(fā)表。

反跟蹤措施的興起

在過去的四年中，除谷歌瀏覽器外，所有主要瀏覽器都采取了遏制第三方跟蹤的對策。

2017年6月，蘋果推出了一項名為“智能跟蹤保護(ITP)”的Safari功能，在臺式機和手機上設(shè)立了新的隱私標準，通過“進一步限制cookie和其他網(wǎng)站數(shù)據(jù)”來減少跨網(wǎng)站跟蹤。兩年后，蘋果推出了一項名為“隱私保護廣告點擊歸屬”的單獨計劃，以保護在線廣告的隱私。

到2019年9月，Mozilla開始通過一項名為增強跟蹤保護(Enhanced Tracking Protection, ETP)的功能默認阻止Firefox中的第三方cookie。2020年1月，微軟基于chromium的Edge瀏覽器也效仿了這一做法。隨后，在2020年3月底，蘋果更新了ITP，加入了完全的第三方cookie阻斷功能，以及其他旨在阻止登錄指紋的功能。

雖然谷歌去年早些時候宣布計劃逐步淘汰Chrome中的第三方cookie和跟蹤器，轉(zhuǎn)而支持一個名為“隱私沙盒”的新框架，但預(yù)計它要到2022年才會上線。

與此同時，這家搜索巨頭一直在積極與廣告技術(shù)公司合作，計劃推出一款名為“Dovekey”的替代產(chǎn)品，旨在取代使用以隱私為中心的技術(shù)在網(wǎng)絡(luò)上提供個性化廣告的跨網(wǎng)站跟蹤功能。

CNAME偽裝可以化身成一種反跟蹤逃避檢測方案

面對這些抑制cookie以增強隱私的措施，營銷人員已經(jīng)開始尋找其他方法來逃避瀏覽器制造商反對跨網(wǎng)站跟蹤的方案。

使用Enter canonical name (CNAME) cloaking,，網(wǎng)站通過DNS配置中的CNAME記錄使用第一方子域名作為第三方跟蹤域的別名，以繞過跟蹤攔截器。

DNS中的CNAME記錄允許將一個域或子域映射到另一個域(例如，別名)，從而使它們成為在第一方子域的偽裝下發(fā)送跟蹤代碼的理想手段。

WebKit安全工程師John Wilander解釋說：“這意味著網(wǎng)站所有者可以將其子域之一(例如sub.blog.example)配置為解析為thirdParty.example，然后再解析為IP地址。由于這發(fā)生在Web層下面，被稱為CNAME cloaking，即thirdParty.example域被偽裝為sub.blog.example，因此具有與真正的第一方相同的功能。”

換句話說，CNAME cloaking使跟蹤代碼看起來像是第一方，但實際上它不是，因為通過CNAME解析的資源和第一方的域不同。

不出所料，這一跟蹤計劃正迅速被營銷人員采用，在過去22個月里增長了21%。

cookie將敏感信息泄漏給跟蹤器

研究人員在他們的研究中發(fā)現(xiàn)，除了在10474家網(wǎng)站上發(fā)現(xiàn)13家此類跟蹤“服務(wù)”提供商之外，該技術(shù)還被用于10000個頂級網(wǎng)站中的9.98%。

此外，該研究還提到了“針對蘋果Safari瀏覽器的針對性處理”，廣告技術(shù)公司Criteo專門使用CNAME cloaking功能，以繞過瀏覽器中的隱私保護。

鑒于蘋果已經(jīng)推出了一些基于壽命的CNAME隱形防御，這一發(fā)現(xiàn)可能更適用于不運行iOS 14和macOS Big Sur的設(shè)備，因為它們支持這一功能。

可能最令人不安的發(fā)現(xiàn)是，在使用CNAME跟蹤的7797個網(wǎng)站中，有7377個網(wǎng)站(占95%)發(fā)現(xiàn)了cookie數(shù)據(jù)泄漏，所有這些網(wǎng)站都發(fā)送了包含私人信息，例如全名、位置、電子郵件地址，甚至在沒有用戶明確確認的情況下，也可以將身份驗證cookie發(fā)送給其他域的跟蹤器。

從攻擊的角度來講，這就是一種攻擊行為，因為用戶為什么要同意第三方跟蹤器接收完全不相關(guān)的數(shù)據(jù)，包括敏感和私人性質(zhì)的數(shù)據(jù)?

由于許多CNAME跟蹤器都包含在HTTP而不是HTTPS上，研究人員還提出了一種可能性，即發(fā)送分析數(shù)據(jù)到跟蹤器的請求可能會被惡意攻擊者攔截，這就是中間人攻擊(MitM)。

此外，研究人員還警告說，通過在同一網(wǎng)站中包含一個跟蹤器而構(gòu)成的攻擊面增加，可能會使網(wǎng)站訪問者的數(shù)據(jù)遭受會話固定和跨網(wǎng)站腳本攻擊。

研究人員表示，他們正與跟蹤器的開發(fā)人員合作來解決上述問題。

緩解CNAME偽裝造成的數(shù)據(jù)盜竊行為

雖然Firefox并沒有禁止CNAME cloaking，但用戶可以下載一個像uBlock Origin這樣的附加組件來阻止這種隱蔽的第一方跟蹤器。uBlock Origin是一款高效的請求過濾工具:占用極低的內(nèi)存和CPU,和其他常見的過濾工具相比,它能夠加載并執(zhí)行上千條過濾規(guī)則。順便提一下，F(xiàn)irefox昨天開始推出帶有完全Cookie保護的Firefox 86，通過“將每個網(wǎng)站的所有Cookie限制在一個單獨的Cookie罐中”來防止跨站點跟蹤。

另一方面，Apple的iOS 14和macOS Big Sur帶有基于其ITP功能的其他防護措施，可以屏蔽第三方CNAME cloaking，盡管Apple并沒有解釋這種防御方法的原理，但可以推測出ITP現(xiàn)在檢測到第三方CNAME cloaking請求，并將HTTP響應(yīng)中設(shè)置的cookie的有效期限制為7天。

Brave瀏覽器也是如此，該瀏覽器上周發(fā)布了一項緊急修復(fù)程序，該修復(fù)程序是由于添加了基于CNAME的廣告攔截功能而導(dǎo)致的漏洞，并在此過程中將.onion域名的查詢發(fā)送到公共互聯(lián)網(wǎng)DNS解析器，而不是通過Tor節(jié)點發(fā)送的。

Chrome(以及擴展后的其他基于chromium的瀏覽器)是唯一明顯的遺漏，因為它既沒有阻止本地的CNAME cloaking，也不像Firefox那樣，讓第三方擴展通過在請求發(fā)送前獲取CNAME記錄來輕松解析DNS查詢。

新興的CNAME cloaking技術(shù)，可以借著反跟蹤的措施避開安全保護措施，這種巧妙的攻擊帶來了嚴重的安全和隱私問題。在用戶不知情或未經(jīng)用戶同意的情況下，用戶數(shù)據(jù)一直在泄漏，這可能會觸發(fā)GDPR和隱私相關(guān)條款。

本文翻譯自：https://thehackernews.com/2021/02/online-trackers-increasingly-switching.html