Được gọi là Kỹ thuật che giấu CNAME, hành vi làm mờ sự phân biệt giữa cookie của bên thứ nhất và bên thứ ba không chỉ dẫn đến việc rò rỉ thông tin cá nhân nhạy cảm mà người dùng không biết và đồng ý mà còn làm tăng mối đe dọa bảo mật web.
Các nhà nghiên cứu cho biết: “Kế hoạch theo dõi này tận dụng bản ghi CNAME trên một tên miền phụ sao cho nó là cùng một trang web với trang web bao gồm”. “Do đó, các biện pháp bảo vệ chặn cookie của bên thứ ba không hiệu quả.”
Các phát hiện dự kiến sẽ được trình bày vào tháng 7 tại Hội nghị chuyên đề về công nghệ nâng cao quyền riêng tư lần thứ 21 (PETS 2021).
Sự gia tăng của các biện pháp chống theo dõi
Trong bốn năm qua, tất cả các trình duyệt chính, ngoại trừ đáng chú ý là Google Chrome, đã bao gồm các biện pháp đối phó để hạn chế sự theo dõi của bên thứ ba.
Trong khi trình duyệt Safari của Apple đã thêm tính năng “Ngăn chặn theo dõi thông minh” (ITP) vào năm 2017 – áp dụng học máy để xác định trình theo dõi và tách biệt dữ liệu kịch bản trên nhiều trang web để bảo vệ lịch sử duyệt web của người dùng khỏi sự theo dõi của bên thứ ba.
Mozilla đã bắt đầu làm cho trình theo dõi chặn mặc định trở lại vào năm 2018 – tiếp tục đặt ETP trở thành mặc định trong Firefox vào năm 2019, chặn cookie từ các công ty được đối tác của nó xác định là trình theo dõi, Disconnect.
Mặc dù vào đầu năm ngoái, Google đã công bố kế hoạch loại bỏ cookie và trình theo dõi của bên thứ ba trong Chrome để ủng hộ một khuôn khổ mới được gọi là “privacy sandbox”, nhưng nó sẽ không hoạt động cho đến một thời điểm nào đó vào năm 2022.
Kĩ thuật che giấu CNAME
Đối mặt với những rào cản loại bỏ cookie này để tăng cường quyền riêng tư, các nhà tiếp thị đã bắt đầu tìm kiếm những cách thay thế để trốn tránh lập trường chuyên chế của các nhà sản xuất trình duyệt chống lại theo dõi trên nhiều trang web.
Kỹ thuật che giấu tên CNAME, các trang web sử dụng tên miền phụ của bên thứ nhất làm bí danh cho tên miền theo dõi của bên thứ ba thông qua bản ghi CNAME trong cấu hình DNS của họ để vượt qua trình chặn trình theo dõi.
Các bản ghi CNAME trong DNS cho phép ánh xạ miền hoặc miền phụ sang một miền khác (tức là bí danh), do đó làm cho chúng trở thành phương tiện lý tưởng để đánh cắp mã theo dõi dưới vỏ bọc của miền phụ của bên thứ nhất.
“Điều này có nghĩa là chủ sở hữu trang web có thể định cấu hình một trong các tên miền phụ của họ, chẳng hạn như sub.blog.example, để phân giải thành thirdParty.example, trước khi phân giải thành địa chỉ IP”, kỹ sư bảo mật của WebKit John Wilander giải thích.
“Điều này xảy ra bên dưới lớp web và được gọi là kỹ thuật che giấu CNAME – miền thứ baParty.example được che giấu dưới dạng sub.blog.example và do đó có quyền hạn tương tự như bên thứ nhất thực sự.”
Nói cách khác, kỹ thuật che giấu CNAME làm cho mã theo dõi trông giống như mã của bên thứ nhất trong khi thực tế thì không, với tài nguyên phân giải thông qua CNAME khác với tài nguyên của miền bên thứ nhất.
Không có gì ngạc nhiên khi chương trình theo dõi này đang nhanh chóng đạt được sức hút, tăng 21% trong 22 tháng qua.
Cookie làm rò rỉ thông tin nhạy cảm cho trình theo dõi
Các nhà nghiên cứu đã tìm thấy một nhà cung cấp trình theo dõi (khét tiếng), Criteo, đang hoàn nguyên các tập lệnh theo dõi của mình về sơ đồ CNAME tùy chỉnh khi phát hiện trình duyệt web Safari đang được sử dụng – có lẽ là một cách để vượt qua ITP của Apple.
Olejnik đã ghi lại mối lo ngại này: “Khi phần nổi của tảng băng trôi, chúng tôi đã phát hiện thấy rò rỉ dữ liệu rộng rãi trên 7.377 trang web. Một số rò rỉ dữ liệu xảy ra trên hầu hết mọi trang web sử dụng lược đồ CNAME (cookie phân tích thường bị rò rỉ). Điều này cho thấy rằng kế hoạch này rất nguy hiểm. Nó có hại cho bảo mật web và quyền riêng tư ”.
Các nhà nghiên cứu phát hiện thấy cookie bị rò rỉ trên 95% các trang web nghiên cứu. Họ cũng báo cáo việc tìm thấy rò rỉ cookie do các tập lệnh của bên thứ ba khác đặt, cho thấy cookie bị rò rỉ trong những trường hợp đó sẽ cho phép trình theo dõi CNAME theo dõi người dùng trên các trang web.
Trong một số trường hợp, họ nhận thấy rằng thông tin bị rò rỉ có chứa thông tin riêng tư hoặc nhạy cảm – chẳng hạn như tên đầy đủ, vị trí, địa chỉ email của người dùng và cookie xác thực (trong mối quan tâm bảo mật bổ sung).
Với nhiều trình theo dõi CNAME được bao gồm qua HTTP trái ngược với HTTPS, các nhà nghiên cứu cũng đưa ra khả năng rằng một yêu cầu gửi dữ liệu phân tích tới trình theo dõi có thể bị chặn bởi kẻ thù độc hại trong cuộc tấn công man-in-the-middle (MitM).
Các kỹ sư trên công cụ WebKit làm nền tảng cho trình duyệt Safari của Apple cũng đang làm việc để thực hiện các cải tiến cho ITP nhằm chống lại sự theo dõi của CNAME.
Giảm thiểu kỹ thuật che giấu CNAME
Mặc dù công cụ theo dõi của Firefox không cấm việc che giấu CNAME nhưng người dùng có thể tải xuống một tiện ích bổ sung như uBlock Origin để chặn những trình theo dõi lén lút của bên thứ nhất.
Công ty đã bắt đầu tung ra Firefox 86 với tính năng Bảo vệ Cookie Toàn diện , ngăn chặn việc theo dõi trên nhiều trang web bằng cách “confin[ing] tất cả cookie từ mỗi trang web trong một lọ cookie riêng biệt.”
Mặt khác, iOS 14 và macOS Big Sur của Apple đi kèm với các biện pháp bảo vệ bổ sung được xây dựng dựa trên tính năng ITP của nó để bảo vệ việc che giấu CNAME của bên thứ ba, mặc dù nó không cung cấp phương tiện để vạch mặt miền trình theo dõi và chặn nó ngay từ đầu.
“ITP hiện phát hiện các yêu cầu che giấu CNAME của bên thứ ba và giới hạn thời hạn sử dụng của bất kỳ cookie nào được đặt trong phản hồi HTTP là bảy ngày”, Wilander nêu chi tiết trong một bài viết vào tháng 11 năm 2020.
Trình duyệt Brave cũng vậy, trình duyệt này đã phải phát hành các bản sửa lỗi khẩn cấp cho một lỗi xuất phát từ việc thêm tính năng chặn quảng cáo dựa trên CNAME và trong quá trình này đã gửi các truy vấn cho miền .onion tới các trình phân giải DNS internet công cộng thay vì thông qua các nút Tor.
Chrome (và theo tiện ích mở rộng, các trình duyệt dựa trên Chromium khác) là thiếu sót rõ ràng duy nhất, vì nó không chặn việc che giấu CNAME nguyên bản cũng như giúp các tiện ích của bên thứ ba dễ dàng giải quyết các truy vấn DNS bằng cách tìm nạp các bản ghi CNAME trước khi yêu cầu được gửi đi, không giống như Firefox.
“Kỹ thuật theo dõi CNAME mới nổi […] né tránh các biện pháp chống theo dõi,” Olejnik nói. “Nó gây ra các vấn đề nghiêm trọng về bảo mật và quyền riêng tư. Dữ liệu người dùng bị rò rỉ, liên tục và nhất quán mà không có sự đồng ý hoặc nhận thức của người dùng. Điều này có thể kích hoạt các điều khoản liên quan đến GDPR và ePrivacy.”
“Cần thiết đồng bộ hóa cookie với các trang web khác để liên kết các hoạt động được theo dõi của một người dùng cụ thể trên trang web A với các hoạt động của cùng một người dùng trên trang B. Total Cookie Protection sẽ ngăn chặn điều này”, ông giải thích.
Source: Thehackernews
Fanpage: Trí Việt JSC