11月21日消息,據(jù)國外媒體Motherboard報(bào)道,通過簡單的腳本工具,我們在網(wǎng)頁上的任何一次點(diǎn)擊和輸入都能被記錄下來。最近普林斯頓大學(xué)的研究者發(fā)現(xiàn),全球有近500家熱門網(wǎng)站會(huì)自動(dòng)記錄你的每一次操作,然后將這些信息發(fā)給第三方服務(wù)器。
常常上網(wǎng)的人應(yīng)該都知道很多網(wǎng)站會(huì)記錄他們的來訪和瀏覽過的頁面。例如,你在一家零售商的網(wǎng)站上搜索某雙鞋子,它就會(huì)記錄你對它有興趣。第二天,你在訪問社交媒體網(wǎng)站的時(shí)候就會(huì)看到同一雙鞋子的廣告。
網(wǎng)站跟蹤用戶并不是什么新鮮事,但上周發(fā)布的來自普林斯頓大學(xué)的研究顯示,在線跟蹤的侵略性要遠(yuǎn)遠(yuǎn)超過大多網(wǎng)絡(luò)用戶的想象。普林斯頓大學(xué)信息技術(shù)政策中心的三位研究人員在研究報(bào)告中指出,運(yùn)行于眾多全球熱門網(wǎng)站的第三方腳本會(huì)跟蹤你的每一次按鍵輸入,然后將那些信息發(fā)送到第三方的服務(wù)器。
有的流量很高的網(wǎng)站會(huì)運(yùn)行軟件來記錄你的每一次點(diǎn)擊和你輸入的每一個(gè)詞語。據(jù)研究人員發(fā)現(xiàn),如果你訪問一個(gè)網(wǎng)站,開始填寫表格,然后棄填,你輸入過的每一個(gè)字還是會(huì)被記錄下來。如果你不小心將復(fù)制到剪貼板的東西粘貼到一個(gè)表格,那些內(nèi)容也會(huì)被記錄下來。2013年,F(xiàn)acebook被發(fā)現(xiàn)對用戶的狀態(tài)更新采取類似的做法——它記錄用戶輸入過的任何內(nèi)容,即便內(nèi)容最終沒有發(fā)布出去。該舉引起了用戶的強(qiáng)烈不滿。
“會(huì)話回放”腳本
網(wǎng)站運(yùn)行的這些腳本被稱作“會(huì)話回放”(session replay)腳本。會(huì)話回放腳本被企業(yè)用來了解用戶如何使用它們的網(wǎng)站。但那些腳本并不只是收集普通的數(shù)據(jù),它們會(huì)記錄且能夠回放個(gè)人的瀏覽會(huì)話。它們不是運(yùn)行于每一個(gè)頁面,但往往被置于用戶輸入密碼、醫(yī)療狀況等敏感信息的頁面。
該項(xiàng)研究的其中一位研究者史蒂夫·英格爾哈特(Steve Englehardt)指出,“用戶很難知道這一切,除非你有深入研讀用戶隱私政策。我們希望用戶注意這一點(diǎn)。”
在研究者們看來,最令人不安的是,會(huì)話回放腳本收集的信息并沒有匿名。FullStory等部分提供該類軟件的公司所設(shè)計(jì)的跟蹤腳本甚至能夠讓網(wǎng)站將所收集的信息與用戶的真實(shí)身份關(guān)聯(lián)起來。企業(yè)可以在后臺(tái)看到用戶與特定的郵箱地址或者姓名關(guān)聯(lián)。
為了展開研究,幾位研究人員探究了其中七家最熱門的會(huì)話回放腳本公司,其中包括FullStory、SessionCam、Clicktale、Smartlook、UserReplay、Hotjar以及俄羅斯最流行的搜索引擎Yandex。他們創(chuàng)建了測試頁面,然后在上面安裝了來自當(dāng)中六家公司的會(huì)話回放腳本。他們發(fā)現(xiàn),全球最熱門的5萬個(gè)網(wǎng)站中的482個(gè)(根據(jù)Alexa的排名)有使用當(dāng)中的這些腳本。
使用那些腳本的知名公司包括男性服飾零售商Bonobos.com、美國最大連鎖藥店Walgreens.com和金融投資公司Fidelity.com。另外值得指出的是,482可能是一個(gè)低估的數(shù)字。研究者稱,那些腳本可能不會(huì)記錄每一個(gè)網(wǎng)站訪客的信息。因此,當(dāng)他們在進(jìn)行測試的時(shí)候,他們可能檢測不到部分腳本,因?yàn)樗鼈儧]有被激活。
自普林斯頓大學(xué)的研究人員公布他們的研究結(jié)果以來,Bonobos和Walgreens均表示它們將停止使用會(huì)話回放腳本。“我們非常重視保護(hù)用戶的數(shù)據(jù),目前正在調(diào)查昨天發(fā)布的研究里所指出的問題。出于謹(jǐn)慎起見,我們已經(jīng)停止與FullStory共享數(shù)據(jù)。”Walgreens上周四在郵件中表示。
Bonobos沒有回應(yīng)置評(píng)請求,但它向《連線》雜志表示,它“已停止與FullStory進(jìn)行數(shù)據(jù)共享,以便評(píng)估我們的協(xié)議和關(guān)于他們的服務(wù)的運(yùn)營。我們正繼續(xù)評(píng)估和強(qiáng)化我們的系統(tǒng)和流程,以保護(hù)我們的用戶數(shù)據(jù)。”
Fidelity方面沒有表態(tài)要停止使用會(huì)話回放腳本。
出售會(huì)話回放腳本的公司也有提供眾多的編輯工具,來讓網(wǎng)站排除記錄的信息當(dāng)中的敏感內(nèi)容,有的工具甚至明確禁止收集用戶數(shù)據(jù)。不過,如此之多的全球熱門網(wǎng)站使用會(huì)話回放腳本,還是會(huì)帶來嚴(yán)重的隱私影響。
信息泄露風(fēng)險(xiǎn)
“第三方會(huì)話回放腳本收集頁面內(nèi)容的行為,可能會(huì)導(dǎo)致醫(yī)療狀況、信用卡細(xì)節(jié)等敏感信息以及其它顯示在頁面上的個(gè)人資料泄露給第三方。”研究人員指出。
密碼往往會(huì)被不慎納入記錄的信息當(dāng)中,盡管那些腳本的設(shè)定中需要排除掉它們。研究者發(fā)現(xiàn),其它的個(gè)人信息也往往沒有被編輯,或者只是被部分編輯,至少部分腳本是這樣。其中的兩家公司UserReplay和SessionCam會(huì)默認(rèn)攔截所有的用戶輸入信息(它們只是跟蹤用戶的點(diǎn)擊活動(dòng)),這種做法要安全得多。
然而,重要的并不只是用戶輸入的信息。當(dāng)你登陸網(wǎng)站的時(shí)候,顯示在屏幕上的內(nèi)容也有可能是敏感內(nèi)容。研究人員發(fā)現(xiàn),“那些腳本公司似乎沒有一家默認(rèn)自動(dòng)編輯所顯示的內(nèi)容;因此所有顯示在屏幕上的內(nèi)容都會(huì)泄露。”
例如,研究者測試了之前使用來自FullStory的腳本的Walgreens.com網(wǎng)站。他們發(fā)現(xiàn),雖然Walgreens有使用FullStory提供的諸多編輯功能,但醫(yī)療狀況、處方等信息以及用戶的真實(shí)姓名仍然會(huì)被會(huì)話回放腳本收集。
最后,該研究的作者擔(dān)心,會(huì)話腳本公司可能會(huì)容易遭到黑客的定向攻擊,尤其考慮到它們可能是富有價(jià)值的攻擊目標(biāo)。例如,這些公司很多都有供客戶回放所收集的信息的控制面板。但Yandex、Hotjar和Smartlook的控制面板運(yùn)行的是沒有加密的HTTP頁面,而不是安全得多的加密HTTPS頁面。
“可能會(huì)有人在回放頁面插入一個(gè)腳本,提取掉所有被記錄下來的數(shù)據(jù)。”該研究的作者寫道。
Yandex發(fā)言人在一份郵件聲明中表示,公司在試圖在任何可以的地方使用HTTPS,也即將升級(jí)它的產(chǎn)品,不再使用HTTP。
在互聯(lián)網(wǎng)上跟蹤你的一舉一動(dòng)的不只有會(huì)話腳本。今年早些時(shí)候的一項(xiàng)研究發(fā)現(xiàn),在全球最流行的1000個(gè)網(wǎng)站中,接近一半使用同一跟蹤軟件來以各種方式跟蹤你的線上行為。