爱刷抖音逛淘宝?小心你的浏览痕迹被追踪
在使用购物软件、视频软件的时候,你想必都有这样的体验,购物软件中“刷”到的内容,大多是依据你的喜好,精准推送的相似物品、款式;而你一旦浏览过“二次元”视频,下次再打开视频软件,就会看到推送相似内容。这背后是网络追踪器在“作怪”。
在今年的苹果开发者大会上,苹果介绍了为 Safari浏览器新引入的隐私报告功能。它可以告诉用户访问网站上运行的是哪一款网络追踪器,还会给用户一个30天的报告,告知在浏览时发现的、已知的网络追踪器,另外,还会显示出这些追踪器来自哪些网站。
目前有哪些网络追踪技术?追踪信息将给用户带来哪些实质影响?如何最大限度进行规范和预防?就此,科技日报记者采访了有关专家。
可实现跨网站的用户追踪
网络追踪是一种用于记住和识别过往网站访问痕迹的技术。某些公司可以通过解读用户在上网过程中留下的电子踪迹,可以搜集用户的各类信息。
当前,包括淘宝、京东、优酷视频、爱奇艺、抖音在内的许多电商平台或视频软件中,都内嵌了网络追踪功能。除了内嵌外,利用第三方提供的特定网络追踪接口,也能在各类网站中实现网络追踪。
在这背后,主要通过哪些技术实现?以优酷和淘宝为例,如果人们在淘宝上搜索某些商品后,那么下次打开优酷就会被推送与这些商品相关的广告。通过技术调研可以发现,这是由于优酷和淘宝共同指向了名为“mmstat.com”的网络追踪器,而该追踪器是阿里巴巴提供的一个统计分析接口。
据了解,到目前为止,网络追踪发展出了三代技术。第一代网络追踪器,是利用多网站共享的Cookie来分析用户行为并标识浏览器用户,进而实现网络追踪。
Cookie是网站发送的一个小数据片段,类似于“记忆存储卡”。“通过Cookie这种机制,网站可以记录状态信息,如用户在电商网站中放到购物车中的物品,或者记录用户的浏览行为,也可记录用户之前输入姓名、地址、密码、信用卡号码等信息。”360浏览器技术负责人说。
目前,利用第三方Cookie可实现跨网站的用户追踪。福州大学数学与计算机科学学院院长助理、网络系统信息安全福建省高校重点实验室主任刘西蒙博士举例说,当用户浏览时,网站A会通过请求第三方网络追踪器接口收集用户上网行为,并“生成”一段Cookie保存在用户的电脑上。之后,若用户访问使用同一个网络追踪器的网站B后,便会从Cookie中读取用户标识,并向网站B提供用户的上网行为信息,从而实现网络追踪的目的。
然而,Cookie虽有效,但通常易于被发现和阻止,为此,人们开始寻找跟踪个人的新方法。
Cookie之后,出现了以浏览器指纹识别为代表的第二代网络追踪技术。该技术浏览器指纹就像我们人手上的指纹一样,具有个体辨识度,主要通过收集用户浏览器以及操作系统、硬件方面的特征信息来区分不同的用户。指纹独立于Cookie起作用,相对Cookie来说,指纹更难被发现。
“为了解决同一台主机多浏览器指纹特征不同的问题,还有人提出了2.5代指纹追踪技术跨浏览器指纹识别。第三代则是人们正在研发的跨设备追踪技术。此外,有人还使用了日志追踪技术等方式实现网络追踪。”刘西蒙说。
追踪浏览痕迹,精准推送广告
服务商设置这些网络追踪器有何“所图”?
“一些内嵌平台追踪的目的是实现网站分析,为客户提供定制化的服务、广告等。”灾备技术国家工程实验室副主任、北京邮电大学网络空间安全专业负责人辛阳教授说。
360浏览器技术负责人举例说,当用户在网上进行购物时,广告公司可以通过追踪浏览记录,实现对不同用户的标识和区分,随后在互联网上全面跟随。使得网站能够让商家获取到用户的个人喜好,实现广告的个性化投放。
同时,通过分析网站关键应用间的转化行为,优化网站设计,吸引更多目标客户;通过识别用户和分析用户的历史数据,可以在用户访问网站时提供定制化的内容,优化用户访问体验。
当前,网络追踪的采集信息面十分广泛,其中包括用户访问的网站信息、在线购物搜索记录、视频的浏览记录、社交网站活动等。甚至可以获取到用户个人财务信息、健康状况、宗教信仰、政治背景等相关私密信息。
网络追踪技术的产生就像一把“双刃剑”。辛阳指出,对于用户而言,他们能够有更大的可能性接收到自己所需要的广告内容,减少了大量无关广告的污染。同时网络追踪可以为用户提供定制化的服务,改善访问体验。例如购物网站会识别用户,并综合其历史数据,优先为其推荐潜在感兴趣商品。
然而,若一个网络追踪器同时出现在多个站点上,当用户的使用时间增加,用户的完整个人信息可能会被暴露,将给用户带来许多隐私安全方面的隐患。
“若这些信息泄露或被不法分子采集,将会人们的生命财产安全造成重大威胁。”刘西蒙指出,甚至,通过社交账号的信息关联分析,不法分子还可以根据这些信息直接定位到具体的个人,可能会导致网络诈骗的发生。
亟待加快构建数据安全体系
网络追踪技术带来的便利相伴着网络安全隐患而来,目前有哪些反追踪技术和解决方案?
360浏览器技术负责人指出,目前的反追踪技术一般都内置于浏览器中,可以开启无痕浏览、阻止使用第三方跟踪器等功能来避免被追踪。该功能实现的技术原理是在发送访问的“http”报头中添加一个字段,告诉服务提供者不要插入追踪的相关代码,这类方法可以在一定程度上达到反追踪的目的。
“也可通过直接屏蔽第三方Cookie的手段来避免大量网络追踪器的追踪。但这种方式会给用户带来很多不便,一些网站的功能将无法使用,比如单点登录等。”刘西蒙说。
当前,还有浏览器使用机器学习的方法来实现智能反追踪,如苹果公司的 Safari浏览器。该技术相比完全禁止Cookie的方法更加智能,避免了用户无法单点登录或者感兴趣内容被屏蔽等问题。
完全避免被追踪可实现吗?
如何最大限度进行规范和预防?
“就目前来看,我认为完全避免被追踪难以实现。”刘西蒙表示,虽然人们可以通过各种手段避免第三方网站的网络追踪,但是只要用户使用电子设备就会与服务供应商产生关联,在与之进行数据交互的同时,必然会产生大量行为数据并被其收集。
对此,从政策法律层面上,刘西蒙建议,国家应加快促进《数据安全法》等相关法律的颁布与落实,并提出行之有效的数据安全监督方案;积极推进数据开发利用技术和数据安全标准体系建设,规范网站追踪用户信息行为以及数据交易行为;支持高校、企业开展数据安全教育相关活动,并投入资源用于发展数据安全相关的技术,培养数据安全技术人才。
“从用户角度来说,首先要尽可能访问正规网站,避免浏览恶意网站,防止信息被非法分子获取。其次,用户可以在浏览器上设置隐私保护、安装反追踪扩展等方式保护自己的隐私。”辛阳指出,若发现网站存在非法获取、利用用户数据的非法行为时,应当及时向有关部门举报网站的非法行为,必要时应当采用法律的手段维护自身的合法权益。
来源:“科技日报”微信公众号