ベルギーの研究チームは、ブラウザがクッキーを管理する方法の設計と実装の欠陥を悪用して、既存のほとんどの追跡防止ツールを回避できる新しいオンライン追跡手法を発見した。
クッキーポリシー違反
Firefoxのトラッキング防止機能や、同様の機能を備えた一部の広告ブロッカーなどのトラッキング防止ツールは、通常、ブラウザの標準Cookieポリシーに従う、適切に行動する広告主に依存しています。しかし、一部の広告主がこれらのCookieポリシーを回避しようとした場合、どうなるのでしょうか?これは、ベルギーの研究者たちが自問自答した疑問でもあります。
どうやら、トラッカーが標準的なCookieポリシーを回避できるのであれば、アンチトラッキングツールも回避できるようだ。同団体は次のように述べている。
私たちの研究では、課せられたすべてのCookieポリシーとリクエストポリシーが正しく適用されているかどうかを検証するためのフレームワークを作成しました。懸念すべきことに、ほとんどのメカニズムは回避可能であることがわかりました。例えば、すべての広告ブロックおよびトラッキング防止ブラウザ拡張機能において、ポリシーを回避できる手法が少なくとも1つ発見されました。
研究者たちは7つのブラウザ、31の広告ブロッカー、15のトラッキング防止拡張機能をテストし、これらすべてのトラッキング防止ツールを回避できる7つの手法を特定しました。
これらの手法では以下を活用します。
- 非推奨だがまだサポートされているAppCache APIと、その後継であるServiceWorker API
- PDFファイルで使用されるJavaScript
- HTMLタグ
- レスポンスヘッダー
- さまざまなリダイレクト
- いくつかのJavaScript API
緩和
研究者たちはすべての脆弱性をブラウザベンダーに報告しており、そのほとんどはすぐに修正されるはずです。ただし、AppCache APIなど一部の脆弱性は既に廃止されているため修正されず、まもなく使用されなくなります。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ChromeのPDFビューアで開かれたPDFファイルに埋め込まれたJavaScriptコードによるトラッキングなど、他の方法は軽減できないため、修正されません。Chromeのサンドボックス化により、拡張機能が他の拡張機能からデータを傍受することは許可されません。つまり、拡張機能(トラッキング防止ツールを含む)はPDFファイルに埋め込まれたトラッカーをブロックできません。
この研究により、ベルギーの研究者らは今週メリーランド州ボルチモアで開催されたUsenixセキュリティシンポジウムで優秀論文賞とインターネット防衛賞を受賞した。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
