在线追踪者越来越多地转向侵入性CNAME伪装技术

随着浏览器制造商稳步打击第三方追踪，广告技术公司越来越多地采用DNS技术来规避此类防御，从而对网络安全和隐私构成威胁。

一组研究人员说，这种模糊第一方和第三方cookie之间区别的做法被称为CNAME伪装，不仅会导致在用户不知情和未经同意的情况下泄露敏感的私人信息，还“增加了网络安全威胁的表面”，Yana Dimova、Gunes Acar、Lukasz Olejnik、Wouter Joosen、，汤姆·范·歌德在一项新的研究中提到了他们。

研究人员在论文中说：“这种跟踪方案利用了子域上的CNAME记录，这样它就与包含它的网站是同一个网站。”。“因此，阻止第三方cookie的防御措施将变得无效。”

研究结果预计将于7月在第21届隐私增强技术研讨会（PETS 2021）上公布。

反跟踪措施的兴起

在过去四年里，除了谷歌Chrome之外，所有主要浏览器都加入了遏制第三方跟踪的对策。

2017年6月，苹果推出了名为智能跟踪保护（ITP）的Safari功能，在台式机和移动设备上设定了新的隐私标准，通过“进一步限制cookie和其他网站数据”减少跨网站跟踪两年后，这家iPhone制造商提出了一项名为“保护隐私的广告点击归属”的单独计划，将在线广告私有化。

然后，从2019年9月起，Mozilla开始通过一个名为增强跟踪保护（ETP）的功能在默认情况下阻止Firefox中的第三方cookie，2020年1月，微软基于Chromium的Edge浏览器也效仿了这一做法。随后，在2020年3月底，苹果公司更新了ITP，包括全面的第三方cookie拦截功能，以及其他旨在阻止登录指纹识别的功能。

Although Google early last year announced plans to phase out third-party cookies and trackers in Chrome in favor of a new framework called the "privacy sandbox," it's not expected to go live until some time in 2022.

与此同时，这家搜索巨头一直在积极与广告技术公司合作，开发一款名为“Dovekey”的替代产品，旨在取代跨网站跟踪功能，该功能使用以隐私为中心的技术在网上提供个性化广告。

CNAME伪装作为一种反跟踪规避方案

面对这些旨在增强隐私的“杀饼干”障碍，营销人员已经开始寻找替代方法，以逃避浏览器制造商对跨网站跟踪采取的绝对立场。

输入规范名称（CNAME）伪装，即网站通过DNS配置中的CNAME记录，使用第一方子域作为第三方跟踪域的别名，以绕过跟踪程序阻止程序。

DNS中的CNAME记录允许将一个域或子域映射到另一个域（即别名），从而使它们成为以第一方子域的名义走私跟踪代码的理想手段。

WebKit安全工程师约翰·威兰德解释说：“这意味着网站所有者可以在解析为IP地址之前，将其子域之一（如sub.blog.example）配置为解析为thirdParty.example。”。“这发生在web层下面，被称为CNAME掩蔽—；第三方.example域被掩蔽为sub.blog.example，因此与真正的第一方具有相同的权力。”

换句话说，CNAME掩蔽使跟踪代码看起来像是第一方，而实际上不是，资源通过不同于第一方域的CNAME解析。

毫不奇怪，这一跟踪计划正在迅速获得支持，在过去22个月里增长了21%。

Cookie会将敏感信息泄露给追踪器

研究人员在他们的研究中发现，在排名前10000的网站中，有9.98%的网站使用了这种技术，此外还发现了10474个网站上的13家此类跟踪“服务”提供商。

此外，该研究还引用了一项“针对苹果网络浏览器漫游的定向治疗”，广告技术公司Criteo专门转向了CNAME伪装，以绕过浏览器中的隐私保护。

鉴于苹果已经推出了一些基于寿命的CNAME伪装防御措施，这一发现可能更能反映出不运行iOS 14和macOS Big-Sur的设备，后者支持该功能。

可能最令人不安的是，在使用CNAME跟踪的7797个网站中，7377个网站（95%）发现了cookie数据泄露，所有这些网站都发送了包含全名、位置、电子邮件地址等私人信息的cookie，甚至在没有用户明确确认的情况下，向其他域的追踪者发送认证cookie。

Olejnik问道：“这实际上甚至很荒谬，因为为什么用户会同意第三方跟踪器接收完全无关的数据，包括敏感和私密的数据？”。

由于许多CNAME跟踪器是通过HTTP而不是HTTPS实现的，研究人员还提出了一种可能性，即在“中间人”（MitM）攻击中，向跟踪器发送分析数据的请求可能会被恶意对手拦截。

此外，他们警告称，将跟踪器作为同一个站点增加的攻击面可能会使网站访问者的数据暴露于会话固定和跨站点脚本攻击。

研究人员表示，他们与跟踪器开发人员合作解决了上述问题。

伪装

虽然Firefox没有禁止CNAME的开箱即用，但用户可以下载uBlock Origin之类的插件来阻止这种偷偷摸摸的第一方追踪器。顺便说一句，该公司昨天开始推出Firefox 86，提供全面的Cookie保护，通过“将每个网站的所有Cookie确认在一个单独的Cookie罐中”来防止跨网站跟踪

另一方面，苹果的iOS 14和macOS Big-Sur在其ITP功能的基础上提供了额外的保护措施，以屏蔽第三方的CNAME伪装，尽管它没有提供一种方法，可以在一开始就揭穿并阻止跟踪域。

"ITP now detects third-party CNAME cloaking requests and caps the expiry of any cookies set in the HTTP response to seven days," Wilander detailed in a write-up in November 2020.

Brave browser也是如此，上周该公司不得不发布紧急修复程序，以解决因添加基于CNAME的广告屏蔽功能而产生的一个漏洞，并在这个过程中发送了对该漏洞的查询。洋葱域到公共internet DNS解析程序，而不是通过Tor节点。

Chrome（以及其他基于Chrome的浏览器）是唯一明显的遗漏，因为与Firefox不同，Chrome既不会阻止CNAME本机屏蔽，也不会让第三方扩展通过在发送请求之前获取CNAME记录来轻松解决DNS查询。

“新兴的CNAME跟踪技术[…]逃避反追踪措施，”奥列伊尼克说它带来了严重的安全和隐私问题。用户数据在未经用户意识或同意的情况下持续不断地泄漏。这可能会触发GDPR和ePrivacy相关条款。"

“在某种程度上，这是新低，”他补充道。