你一天查看幾遍電子郵件?我們知道,網絡追蹤者在我們上網沖浪的時候窺探我們,但這一情況對電子郵件跟蹤同樣適用。事實上,跟蹤頻率可能比你認識到的還要高。
普林斯頓大學3名研究人員為 PETS 2018 (隱私強化技術論文集)撰寫的研究文章《我從沒注冊過這個!電子郵件跟蹤的隱私影響》,闡述的就是此一問題。
研究人員將電子郵件跟蹤描述為“非常普遍”,因為85%都包含有嵌入的第三方內容。其中,70%就是涉嫌網絡跟蹤的那些。
僅僅打開郵件,就可使這些第三方追蹤你的網上生活,將你的網上活動與你的電子郵件地址相關聯(lián),而不僅僅是關聯(lián)到一個匿名的cookie。
追蹤者可將電子郵件地址關聯(lián)到瀏覽歷史和資料,引發(fā)進一步的隱私泄露,比如跨設備跟蹤和線上及線下活動的關聯(lián)。
研究人員開發(fā)的OpenWPM網絡爬蟲訪問了1.57萬個提供商業(yè)電郵列表訂閱表單的網站,成功從902個發(fā)件人注冊了12,618個郵件列表。他們發(fā)現了一個由數百第三方組成的網絡,這些第三方通過嵌入圖像之類的方法追蹤電子郵件收件人。約有30%的郵件,在被打開時將收件人郵件地址泄露給一家或多家第三方。大多數案例中,這些泄露都是發(fā)件人故意的,而一旦收件人點擊了郵件中的鏈接,進一步的泄露產生。
那么,有多少泄露是故意的呢?文章中稱,“暴露給第三方的100,963起泄露中,62%是故意的。”如果被泄電郵地址按很多Web郵件客戶端常用做法與跟蹤cookie相關聯(lián),那么隱私風險會更加嚴重。
電子郵件跟蹤例子
以交易網站LivingSocial的郵件為例,研究人員發(fā)現:
當郵件被打開,客戶端會向橫跨29個第三方域名的24家第三方發(fā)出請求。總共有10家第三方收到了該用戶電子郵件地址的MD5散列值,包括主要數據代理Datalogix和Acxiom。幾乎全部第三方(24家中的22家)設置或接收隨附請求的cookie。某Web郵件客戶端中,這些cookie都是用于在網絡上跟蹤用戶的瀏覽器cookie,而且,確實很多主要Web追蹤者(包括屬于谷歌、comScore、Adobe和AOL的域名),在郵件被打開時都被加載了。雖然該樣例郵件含有相對普通郵件而言很大量的追蹤者,絕大部分電子郵件(70%)會被嵌入至少一個。
被泄郵件地址最常見收件人
接收被泄郵件地址的5大公司LiveIntent、Acxiom、Litmus Softwar、Conversant Media 和Neustar。
如果用戶確實點擊了郵件中的鏈接,那么該用戶電子郵件地址可能被泄露給第三方。研究人員發(fā)現,10大泄露收件人公司是:谷歌、Facebook、推特、Adobe、微軟、Pinterest、LiveIntent、阿卡邁、Acxiom和AppNexus。
電子郵件客戶端的隱私影響功能
研究人員制作了一款電子郵件隱私測試器,確定16個郵件客戶端的隱私影響功能。
Gmail通過Web、安卓和iOS應用訪問,封鎖代理內容,如果被認為是垃圾郵件,只在Web上封鎖圖像,3種訪問渠道都封鎖引用鏈接和cookie,但僅Web版本提供擴展支持。
Outlook Web App、outlook.com和 Outlook 2016 桌面版,不封鎖代理內容。雖然App和 Outlook 2016 都封鎖圖像,但Outlook.com僅在被標為垃圾郵件時封鎖圖像。與App和Outlook.com不同,Outlook 2016 不封鎖引用鏈接。所有這3種客戶端都封鎖cookie,而僅 Outlook 2016 不提供擴展支持。
Windows郵件客戶端桌面版僅僅封鎖引用鏈接。
蘋果郵件客戶端iOS和桌面版都不封鎖代理內容或圖像——除非被認為是垃圾郵件,但二者都封鎖引用鏈接和cookie,只是都不提供擴展支持。
Thunderbird桌面版不封鎖代理內容,但封鎖圖像和引用鏈接,如果默認設置從“否”修改為“是”的話,cookie也是可以封鎖的,而且提供擴展支持。
防御電子郵件跟蹤
研究人員提供了5種可能的電子郵件跟蹤防御方法,包括:內容代理、HTML過濾、cookie封鎖、引用鏈接封鎖、請求封鎖。
使用封鎖圖像的電子郵件客戶端,可削減隱私風險,但同時也會造成試圖展示圖片的郵件無法閱覽。
除了使用默認封鎖圖像的郵件客戶端,uBlock Origin、Privacy Badger 或Ghostery之類的瀏覽器擴展,也有助于封鎖跟蹤請求。這些擴展可將跟蹤削減一半,但無法杜絕。
我們發(fā)現,跟蹤防護列表EasyList和EasyPrivacy,可將郵件瀏覽中發(fā)生的郵箱泄露數量減少87%。或許,重視隱私的用戶可用的最佳選擇,是采用Web郵件并安裝跟蹤防護工具,比如 uBlock Origin 或Ghostery。使用獨立客戶端的用戶必須找尋支持隱私擴展的那些。我們研究的客戶端中,唯一一款支持此類擴展的,是Thunderbird。瀏覽器中安裝跟蹤防護工具,也能提供郵件鏈接被點擊時的防護。
完整論文:
https://senglehardt.com/papers/pets18_email_tracking.pdf
京公網安備 11010502049343號