近期,央视曝光了一些手机App通过植入插件,转移用户个人信息的行为,涉及手机软件近50款。事实上,用户除了在使用手机App时可能会被监视外,使用电脑浏览网页也存在这一隐患。
在浏览购物网站、视频网站的时候,想必很多人都有过这样的体验,购物网站上刷到的内容,大多是依据你的喜好推送的款式;浏览过某一类视频,下次再打开该视频网站,就会看到首页推送了相似内容。这背后其实是网络追踪器在发挥作用。
在今年的苹果开发者大会上,苹果介绍了升级后的隐私报告功能,据称可以告诉用户访问网站上运行的是哪款网络追踪器,还可以生成报告,详细列出30天之内的、用户在浏览网页时触发过的网络追踪器,另外,还会显示出这些追踪器来自哪些网站。
目前网络追踪都是如何实现的?信息被追踪将给用户带来哪些实质影响?如何最大限度进行规范和预防?就此,科技日报记者采访了有关专家。
追踪技术不断更新换代
网络追踪是一种用于记住和识别过往网站访问痕迹的技术,通过解读用户在上网过程中留下的电子踪迹,就可以搜集用户的相应信息。
科技日报记者发现,许多电商平台或视频软件中都内嵌了网络追踪功能。除了内嵌外,利用第三方提供的特定网络追踪接口,也能在各类网站中实现网络追踪。
网络追踪主要通过哪些技术实现?以优酷和淘宝为例,如果人们在淘宝上搜索了某些商品,那么下次打开优酷就会被推送与这些商品相关的广告。记者了解到,这是由于优酷和淘宝的平台同时内嵌了名为“mmstat.com”的网络追踪器,而该追踪器是阿里巴巴提供的一个统计分析接口。
据专业人士介绍,最初的网络追踪器,是利用多网站共享的Cookie来分析用户行为并标识浏览器用户,进而实现网络追踪。
Cookie是网站发送的一个小数据片段,类似于“记忆存储卡”。“通过Cookie,网站可以记录用户在电商网站中放到购物车中的物品,或者记录用户的浏览行为,也可记录用户之前输入的姓名、地址、密码、信用卡号码等信息。”360浏览器技术负责人说。
福州大学数学与计算机科学学院院长助理、网络系统信息安全福建省高校重点实验室主任刘西蒙博士指出,目前利用第三方Cookie可实现跨网站的用户追踪。例如,当用户浏览网页时,网站A会通过第三方网络追踪器接口收集用户上网行为,并生成一段Cookie保存在用户的电脑上。之后,若用户访问的网站B与网站A使用的是同一个网络追踪器,那么网站B就会从Cookie中读取用户标识,并掌握用户的上网历史行为信息,从而达到网络追踪的目的。
然而,利用Cookie读取用户信息虽然有效,但通常容易被发现和阻止。于是,在Cookie之后,出现了以浏览器指纹识别为代表的第二代网络追踪技术。浏览器指纹就像我们人的指纹一样,具有个体辨识度,主要通过收集特定时间段内用户浏览器以及操作系统、硬件方面的特征信息来区分不同的用户。指纹独立于Cookie起作用,相对Cookie来说更难被发现。
“为了解决同一台主机多浏览器指纹特征不同的问题,还有人提出了指纹追踪技术跨浏览器指纹识别方案,可以同时在多个浏览器上甄别出同一用户的信息并加以追踪。另外,还有人正在研究跨设备追踪以及利用日志追踪等技术,目的都是为了实现网络追踪。”刘西蒙说。
可优化服务和泄露信息的“双刃剑”
服务商设置这些网络追踪器目的何在?
“一些平台内嵌追踪器的目的是实现网站分析,为客户提供定制化的服务、广告等。”灾备技术国家工程实验室副主任、北京邮电大学网络空间安全专业负责人辛阳教授说。
360浏览器技术负责人举例说,当用户在网上购物时,广告公司可以通过追踪浏览记录,实现对不同用户的标识和区分,随后在互联网上进行全面跟随。使得网站能够让商家获取到用户的个人喜好,实现广告的个性化投放。
同时,通过分析用户使用习惯与流量导入、消费行为等之间的转化,对网站进行优化设计,以吸引更多目标客户;通过识别用户和分析用户的历史数据,可以在用户访问网站时提供定制化的内容,优化用户访问体验。
当前,网络追踪的采集信息范围十分广泛,包括用户曾访问过的网站信息、网购搜索记录、视频浏览记录、社交网站活动等,甚至可以获取到用户个人财务信息、健康状况、生活背景等私密信息。
网络追踪技术的产生就像一把“双刃剑”。辛阳指出,对于用户而言,他们有更大的可能性接收到自己所需要的广告内容,避免受到大量无关广告的干扰。同时网络追踪可以为用户提供定制化的服务,改善访问体验。例如购物网站会识别用户,并综合其历史数据,优先为其推荐潜在感兴趣的商品。
然而,若一个网络追踪器同时出现在多个站点上,随着用户的使用时间增加,用户的个人信息就可能会被完全暴露,这将给用户带来许多隐私安全方面的隐患。
“若这些信息泄露或被不法分子采集,将会给人们的生命财产安全造成重大威胁。”刘西蒙指出,甚至通过社交账号的信息关联分析,不法分子还可以直接定位到具体的个人,可能会以此实施网络诈骗或更严重的侵害。
完全避免被追踪很难做到
网络追踪技术带来的便利与安全隐患相伴而来,目前有哪些反追踪技术和解决方案?
360浏览器技术负责人指出,目前的反追踪技术一般都内置于浏览器中,可以开启无痕浏览、阻止第三方跟踪器使用等功能来避免被追踪。该功能实现的技术原理是在发送访问的“http”报头中添加一个字段,告诉服务提供者不要插入追踪的相关代码,这类方法可以在一定程度上达到反追踪的目的。
“也可通过直接屏蔽第三方Cookie的手段来避免大量网络追踪器的追踪。但这种方式会给用户带来很多不便,一些网站的功能将无法使用,比如单点登录等,这就意味着在多个应用系统中,用户将不能通过一次登录就可以访问所有相互信任的应用系统。”刘西蒙说。
目前,已经有浏览器利用机器学习的方法来实现智能反追踪,如苹果公司的Safari浏览器。该技术相比完全禁止Cookie的方法更加智能,避免了用户无法单点登录或者感兴趣内容被屏蔽等问题。
那么,完全避免被追踪可实现吗?刘西蒙表示,只要用户使用电子设备就会与服务供应商产生关联,在与之进行数据交互的同时,必然会产生大量行为数据并被其收集。就目前情况来看,完全避免被追踪很难做到。
对此,刘西蒙建议,应加快促进《数据安全法》等相关法律的颁布与落实,并提出行之有效的数据安全监督方案;积极推进数据开发利用技术和数据安全标准体系建设,规范网站追踪用户信息行为以及数据交易行为;此外,还应支持高校、企业开展数据安全教育相关活动,并投入资源用于发展数据安全相关的技术,培养数据安全技术人才。
“从用户角度来说,首先要尽可能访问正规网站,避免浏览恶意网站,防止信息被非法分子获取。其次,用户可以在浏览器上设置隐私保护、安装反追踪扩展等方式保护自己的隐私。”辛阳指出,若发现网站存在非法获取、利用用户数据的行为时,应当及时向有关部门举报网站的非法行为,必要时应当采用法律手段维护自身的合法权益。