長期以來,那些將隱私看得比天大的人一直在大聲疾呼,他們認為各種形式的網絡跟蹤都會帶來巨大風險,其中就包括 cookies,網絡信標和各種指紋識別的形式。
意識到這個問題確實能幫上不少忙。最近,對隱私問題極端敏感的蘋果就在 macOS Mojave 和 iOS 12 上發布了升級版的 Safari 追蹤保護。在此之前,火狐也力推過一款名為 Facebook Container 的反追蹤擴展。此外,像 Brave 和 Tor Browser 這樣的瀏覽器也在繼續提供涉及更廣泛的隱私功能。
一直以來,隱私危機都與網絡追蹤逃不開關系。不過,德國漢堡大學的研究人員最近才發現,原來不懷好意的人還能通過另一種機制在網絡上跟蹤他人。
本周,ArXiv 上的一片論文就講到了這個問題。計算機科學家 Erik Sy, Hannes Federrath ,Christian Burkert 和 Mathias Fischer 在論文中描述了一種跟蹤技術,其中就包括 TLS 會話重用。
棘手的 " 談判 "
TLS(就是 SSL 的早期化身)其實本應該被大眾所熟知,因為作為加密協議,它用于在客戶端和服務器之間傳輸時保護 web 通信。TLS 最新版本為 1.3。
訪問 HTTPS 網站時就會建立 TLS 連接,其中包含了一些在網絡上進行的協商 " 拉鋸戰 "。因此,通過較少的 " 儀式 " 恢復以前建立會話的方式—— TLS 會話重用成了題中應有之義。需要注意的是,技術在 TLS 1.3 和舊版本規范之間有所不同,通過預共享密鑰(PSK)解決的代表最新機制,而傳統方法涉及會話 ID 和會話 " 門票 "。
不過,這個問題的關鍵是會話恢復依賴于 " 初始握手 " 期間傳遞給客戶端設備的標識符,而類似會話 ID,會話 " 門票 " 或 PSK 等標識符會保存在瀏覽器的 TIL 緩存中,因此黑客能像其他數字標識符一樣對其進行追蹤。
對于桌面瀏覽器用戶來說這并不是個問題,因為瀏覽器重啟相當頻繁。不過,移動設備卻成了重災區。
情況可能會更糟
研究人員發現,TLS 會話 " 門票 " 授權的網站在 Alexa 榜單中占據了 80%。他們強調稱,Facebook 和谷歌的廣告較多,因此會話重用 " 門票 " 的使用期比其他網站都長。Facebook 更是給使用期做了個 48 小時的設定,這已經高于 99.99% 的會話門票了。即使谷歌的只有 28%,依然擊敗了 97.13 的對手(Alexa 排名前一百萬的網站)。
不過,即使會話重用 " 門票 " 過期了,也不意味著黑客不能對用戶進行追蹤。
如果有客戶試圖恢復一個會話,它就會將其 TLS 會話恢復標識符發送到服務器,而不管會話是否恢復或拒絕。研究人員發現,網站可以在用戶每次訪問時分派一個全新的會話標識符,隨后在會話重用使用期內對用戶進行無限追蹤。
難道問題無解嗎?
有趣的是,大部分網絡瀏覽器的默認設置都能降低用戶被追蹤的風險。研究人員對 45 個瀏覽器進行了調查,其中三分之二的使用期都不超過 60 分鐘。不過,即使是這樣,黑客在大部分瀏覽器上也能輕松追蹤用戶一周時間。
最終,研究人員推薦了三個對隱私保護較為在行的瀏覽器,它們分別是 JonDoBrowser,Orbot 和 Tor Browser,因為它們根本就不支持會話重用。在研究人員看來,將 TLS 1.3 中的使用期調整到 10 分鐘是降低風險的最佳方案。當然,徹底禁止 TLS 會話重用是最治本的方案。
【來源:雷鋒網】
