에버쿠키

Evercookie
'토르 악취' NSA 발표회

에버쿠키(Evercookie, 일명 슈퍼쿠키[1])는 클라이언트의 브라우저 저장소에서 의도적으로 삭제된 쿠키를 식별하고 재생산하는 자바스크립트 응용프로그래밍 인터페이스(API)이다.[2] 그것은 사미 캄카르에 의해 2010년에 레스프 아첨을 사용하는 웹사이트로부터의 침투 가능성을 보여주기 위해 만들어졌다.[3] 이 메커니즘을 채택한 웹 사이트는 이전에 저장된 쿠키를 삭제하려고 해도 사용자를 식별할 수 있다.[4]

에드워드 스노든은 2013년 에버쿠키가 토르(익명 네트워크) 사용자를 추적할 수 있다는 내용의 최상위 기밀 NSA 문서를 유출했다.[5] 많은 인기 있는 회사들은 에버쿠키와 유사한 기능을 사용하여 사용자 정보를 수집하고 사용자를 추적한다.[1][6] 지문 인식과 검색 엔진에 대한 추가 연구도 에버쿠키의 끈질기게 사용자를 추적하는 능력에서 영감을 얻는다.[4][5][7]

배경

일반적으로 사용되는 데이터 저장소는 HTTP 쿠키, 플래시 쿠키, HTML5 스토리지 등 3가지가 있다.[1][8] 사용자가 웹사이트를 처음 방문할 때 웹서버는 고유한 식별자를 생성하여 사용자의 브라우저나 로컬 공간에 저장할 수 있다.[9] 웹사이트는 저장된 식별자로 향후 방문 시 사용자를 읽고 식별할 수 있으며, 웹사이트는 사용자의 선호도를 저장하고 마케팅 광고를 표시할 수 있다.[9] 프라이버시 문제로 인해 모든 주요 브라우저에는 웹 사이트에서 쿠키를 삭제하거나 거부할 수 있는 메커니즘이 포함되어 있다.[9][10]

사용자들의 쿠키 수용에 대한 거부감이 커짐에 따라, 많은 웹사이트들은 사용자의 쿠키 삭제를 회피하는 방법을 채택하고 있다.[11] 2009년부터 시작된 많은 연구팀은 인기 있는 웹사이트들이 hulu.com, foxnews.com, spotify.com, spotify.com 등을 포함하여 사용자들이 삭제한 쿠키를 재구축하기 위해 플래시 쿠키, ETags, 그리고 다양한 데이터 저장소를 사용한다는 것을 발견했다.[1][12][13][14] 2010년에 캘리포니아의 프로그래머인 Samy Kamkar는 브라우저의 다양한 저장 메커니즘에 대해 아첨하면서 추적 메커니즘을 더 잘 보여주는 에버쿠키 프로젝트를 만들었다.[3]

설명

에버쿠키는 Javascript 코딩에서 악성 소프트웨어로 만들어지며, 서버에 있는 쿠키 삭제를 시도한 후에도 항상 사용자를 식별하기 위한 것이다.[15] 사미 캄카르는 2010년 9월 13일 오픈 소스로 에버쿠키의 v0.4 베타 버전을 출시했다.[16][17][18] 이 evercookie javascript는 삭제된 HTTP 쿠키를 다시 아첨하는 것으로 제한되지 않고 브라우저의 모든 저장소에 제한된다.[16] 브라우저가 서버에 에버쿠키 API가 있는 웹사이트를 방문할 때, 웹 서버는 식별자를 생성하여 브라우저에서 사용할 수 있는 다양한 저장 메커니즘에 저장한다.[2] 사용자가 브라우저에 저장된 일부 식별자를 제거하고 웹 사이트를 다시 방문하면 웹 서버는 사용자가 삭제하지 못한 나머지 저장된 용량에서 식별자를 검색한다.[16] 그러면 웹 서버는 이 식별자를 복사하여 이전에 삭제된 스토리지 용량에 복원한다.[19]

이용 가능한 다양한 저장 메커니즘을 남용함으로써, 에버쿠키는 사용자가 모든 저장 메커니즘을 삭제하지 않을 가능성이 높기 때문에 지속적인 데이터 식별자를 만든다.[20] Samy Kamkar가 제공한 목록에서 브라우저에서 사용 가능한 v0.4 베타 에버쿠키에 대해 17개의 스토리지 메커니즘을 사용할 수 있다.[16]

Samy Kamkar는 그가 인터넷 사용자들의 사생활을 침해하거나 상업적 사용을 위해 어떤 당사자들에게 팔기 위해 이 에브리쿠키 프로젝트를 사용할 의도가 없었다고 주장했다. 그러나 나중에 사용자가 삭제한 쿠키를 복원하기 위해 유사한 메커니즘을 구현하는 다른 상업용 웹사이트에 영감을 주는 역할을 한다. 에버쿠키 프로젝트는 오픈 소스로 누구나 접속해 검토할 수 있다. 이 프로젝트는 HTML5를 스토리지 메커니즘 중 하나로 통합하여 프로젝트 6개월 전에 출시되었으며 지속성이 더해져 대중의 관심을 받았다. Kamkar는 그의 프로젝트가 사용자들의 사생활이 어떻게 현대적인 추적 툴에 의해 더럽혀질 수 있는지를 보여줄 수 있기를 바랐다.[21] 지금까지, 파이어폭스 브라우저 플러그인 "Anonymizer Nevercookie"는 에버쿠키 레스프팅을 차단할 수 있다.[15]

에버쿠키 프로젝트에 통합된 저장 메커니즘은 에버쿠키의 지속성을 더해 지속적으로 업데이트되고 있다. 에버쿠키는 기존의 추적 방식이 다수 통합돼 있어 많은 상업용 웹사이트에 의한 데이터 수집 방식의 중복성을 줄이는 첨단 데이터 추적 도구를 제공한다.[22][23] 그 영감을 받아, 점점 더 많은 상업용 웹사이트들이 에버쿠키라는 아이디어를 사용했고, 그들은 새로운 스토리지 벡터를 통합함으로써 그것을 덧붙인다. 2014년 프린스턴대 연구팀은 에버쿠키, 캔버스 지문 채취, 쿠키 동기화 등 3가지 지속적 추적 툴을 대규모로 연구했다. 이 팀은 상위 10만 개의 알렉사 웹사이트를 기어와 분석했고, 그것은 에버쿠키 메커니즘에 통합되어 weibo.com이 사용하는 새로운 스토리지 벡터인 IndexedDB를 감지한다. 그 팀은 이것이 인덱스DB에 대한 상업적 이용의 첫 발견이라고 주장했다.[12] 게다가, 그 팀은 쿠키 싱킹이 에버쿠키와 함께 사용되는 것을 발견한다. 쿠키 동기화를 통해 서로 다른 저장 메커니즘 간의 데이터 공유를 가능하게 하여 사용자 브라우저의 서로 다른 저장 위치에서 에버쿠키의 레스프팅 프로세스를 용이하게 한다. 연구팀은 또한 플래시 쿠키가 HTTP 쿠키를 아첨하는 사례들을 발견했고, HTTP 쿠키는 상업용 웹사이트에서 플래시 쿠키를 아첨하는 사례들을 발견했다. 그 두 기계임은 채용된 저장 메커니즘의 개수 면에서 에브리쿠키 프로젝트와는 다르지만, 같은 이념을 가지고 있다. 연구팀이 기어가던 사이트 중 200개 사이트 중 10개가 플래시 쿠키를 이용해 HTTP 쿠키를 재구축했다. 관찰된 사이트 중 9개는 weibo.com, hao123.com, sohu.com, ifeng.com, youku.com, youku.com, 56.com, 56.com, tudo.com, tudo.com 등 중국에 속해 있다. 다른 한 웹사이트는 러시아 최고의 검색 엔진인 yandex.ru이다.

적용들

슬로바키아 공대 연구팀은 검색엔진이 누리꾼들의 의도된 검색어를 유추하고 개인 맞춤형 검색 결과를 도출할 수 있는 메커니즘을 제안했다. 종종 인터넷 사용자들의 질의는 다양한 의미와 다양한 분야에 걸쳐 있다. 그 결과, 검색엔진으로부터 표시되는 검색 결과에는 수많은 정보가 담겨 있는데, 그 중 상당수는 검색자와 관련이 없다. 저자들은 검색자의 정체성과 사용자 선호도가 질의 의미에 강한 지표를 가지고 있으며 검색어의 모호성을 크게 줄일 수 있다고 제안했다. 연구팀은 에버쿠키로 사용자 정보를 추출하는 메타데이터 기반 모델을 구축했고, 이 사용자 이익 모델을 검색 엔진에 통합해 검색 결과의 개인화를 강화했다. 연구팀은 실험 대상자가 전통 쿠키를 쉽게 삭제할 수 있어 실험 데이터가 불완전하다는 사실을 알고 있었다. 그리고 나서 연구팀은 에버쿠키의 지속성을 활용했다.[4]

논란이 많은 애플리케이션

KISSMetics 개인정보 보호소송

2011년 7월 29일 금요일, 버클리 캘리포니아 대학의 연구팀이 퀀트캐스트를 기반으로 한 미국 100대 웹사이트를 탐색했다. 연구팀은 마케팅 분석 도구를 제공하는 제3자 웹사이트인 KISSmetrics를 찾아내 HTTP 쿠키, 플래시 쿠키, ETags, 그리고 Samy Kamkar의 에버쿠키 프로젝트에서 사용자가 삭제한 정보를 재발견하기 위해 채택된 일부 저장 메커니즘을 사용했다.[1] hulu.com과 spotify.com과 같은 다른 인기 있는 웹사이트들은 HTML5와 HTTP 퍼스트 파티 쿠키를 재발견하기 위해 KISSmetrics를 이용했다. 연구팀은 이타그가 상업적 환경에서 사용되는 것이 관측된 것은 이번이 처음이라고 주장했다.[14]

보고서 발간 당일 훌루와 스포티파이는 추가 조사를 위해 KISS메트릭스 사용 중단 사실을 발표했다.[24] 두 명의 소비자는 금요일 KISS메트릭스의 사용자 사생활 침해에 대해 소송을 제기했다.[25] KISSMetrics는 주말 동안 개인정보 보호정책을 개정하여, 이 회사가 추적을 받지 않기로 결정했을 경우 고객들의 의사를 전적으로 존중했음을 시사했다. 2011년 8월 4일, KISSmetrics의 CEO Hiten Shah는 KISSmetrics의 보고서에 언급된 에버쿠키 및 기타 추적 메커니즘 구현을 부인했으며, 그는 회사가 합법적인 제1자 쿠키 추적기만을 사용했다고 주장했다.[1] 2012년 10월 19일, KISSmetrics는 고발 사건을 해결하기 위해 50만 달러 이상을 지불하기로 합의하고, 영원히 쿠키를 사용하지 않겠다고 약속했다.[26][27]

NSA Tor Tracking(토르 추적)

2013년 에드워드 스노든에 의해 국가안전보위부(NSA) 내부 프레젠테이션이 공개되면서 에버쿠키가 토르 이용자를 추적하기 위해 정부 감시에 활용했음을 시사했다.[5][28] TOR 블로그는 TOR Browser Bundles 및 Tails 운영체제가 everycookie에 대한 강력한 보호를 제공하도록 보장하면서 유출된 문서에 대해 하나의 게시물로 응답했다.[29][30]

데이터 추적에 대한 대중의 태도

에버쿠키, 그리고 지속적인 데이터 추적에 등장한 많은 다른 신기술들은 인터넷 사용자들이 쿠키 저장소를 삭제하는 경향에 대한 반응이다. 이 정보 교환 시스템에서, 일부 소비자들은 그들이 더 큰 개인화 정보로 보상받고 있다고 믿거나, 때로는 관련 회사로부터 금전적인 보상까지 받고 있다.[31] 그러나 최근 관련 연구에서는 소비자와 마케터들의 기대치에 괴리가 있는 것으로 나타났다.[32] 월스트리트저널(WSJ)은 인터넷 검색 도중 표적 광고를 보면 72%가 불쾌감을 느낀다고 밝혔다. 또 다른 조사에서는 66%의 미국인들이 개인화된 정보를 생성하기 위해 마케터들이 그들의 데이터를 추적하는 방법에 대해 부정적으로 느낀다는 것을 보여주었다. 또 다른 조사에서는 응답자의 52%가 행동광고를 끄기를 원한다.[33] 그러나 데이터 추적은 모든 시장 참여자에게 지식을 제공하고, 이 지식을 시장성 있는 상품으로 추가 자본화하며, 최종 마케팅 활동에서 운영하기 때문에 계속되었다.[34][35]

참고 항목

참조

  1. ^ a b c d e f Bujlow, Tomasz; Carela-Espanol, Valentin; Lee, Beom-Ryeol; Barlet-Ros, Pere (2017). "A Survey on Web Tracking: Mechanisms, Implications, and Defenses". Proceedings of the IEEE. 105 (8): 1476–1510. doi:10.1109/jproc.2016.2637878. hdl:2117/108437. ISSN 0018-9219. S2CID 2662250.
  2. ^ a b Acar, Gunes; Eubank, Christian; Englehardt, Steven; Juarez, Marc; Narayanan, Arvind; Diaz, Claudia (2014). "The Web Never Forgets". Proceedings of the 2014 ACM SIGSAC Conference on Computer and Communications Security - CCS '14. New York, New York, USA: ACM Press: 674–689. doi:10.1145/2660267.2660347. ISBN 978-1-4503-2957-6. S2CID 8127620.
  3. ^ a b Bashir, Muhammad Ahmad; Wilson, Christo (2018-10-01). "Diffusion of User Tracking Data in the Online Advertising Ecosystem". Proceedings on Privacy Enhancing Technologies. 2018 (4): 85–103. doi:10.1515/popets-2018-0033. ISSN 2299-0984. S2CID 52088002.
  4. ^ a b c Kramár, Tomáš; Barla, Michal; Bieliková, Mária (2013-02-01). "Personalizing search using socially enhanced interest model, built from the stream of user's activity". Journal of Web Engineering. 12 (1–2): 65–92. ISSN 1540-9589.
  5. ^ a b c Kobusińska, Anna; Pawluczuk, Kamil; Brzeziński, Jerzy (2018). "Big Data fingerprinting information analytics for sustainability". Future Generation Computer Systems. 86: 1321–1337. doi:10.1016/j.future.2017.12.061. ISSN 0167-739X. S2CID 49646910.
  6. ^ Koop, Martin; Tews, Erik; Katzenbeisser, Stefan (2020-10-01). "In-Depth Evaluation of Redirect Tracking and Link Usage". Proceedings on Privacy Enhancing Technologies. 2020 (4): 394–413. doi:10.2478/popets-2020-0079. ISSN 2299-0984.
  7. ^ Al-Fannah, Nasser Mohammed; Mitchell, Chris (2020-01-07). "Too little too late: can we control browser fingerprinting?". Journal of Intellectual Capital. 21 (2): 165–180. doi:10.1108/jic-04-2019-0067. ISSN 1469-1930. S2CID 212957853.
  8. ^ Zhiju, Yang; Chuan, Yue (2020-04-01). "A Comparative Measurement Study of Web Tracking on Mobile and Desktop Environments". Proceedings on Privacy Enhancing Technologies. Retrieved 2020-12-11.
  9. ^ a b c Yue, Chuan; Xie, Mengjun; Wang, Haining (September 2010). "An automatic HTTP cookie management system". Computer Networks. 54 (13): 2182–2198. doi:10.1016/j.comnet.2010.03.006. ISSN 1389-1286.
  10. ^ fouad, Imane; Bielova, Nataliia; Legout, Arnaud; Sarafijanovic-Djukic, Natasa (2020-04-01). "Missed by Filter Lists: Detecting Unknown Third-Party Trackers with Invisible Pixels". Proceedings on Privacy Enhancing Technologies. 2020 (2): 499–518. doi:10.2478/popets-2020-0038. ISSN 2299-0984.
  11. ^ Cook, John; Nithyanand, Rishab; Shafiq, Zubair (2020-01-01). "Inferring Tracker-Advertiser Relationships in the Online Advertising Ecosystem using Header Bidding". Proceedings on Privacy Enhancing Technologies. 2020 (1): 65–82. doi:10.2478/popets-2020-0005. ISSN 2299-0984.
  12. ^ a b Acar, Gunes; Eubank, Christian; Englehardt, Steven; Juarez, Marc; Narayanan, Arvind; Diaz, Claudia (2014). "The Web Never Forgets: Persistent Tracking Mechanisms in the Wild". Proceedings of the 2014 ACM SIGSAC Conference on Computer and Communications Security - CCS '14. Scottsdale, Arizona, USA: ACM Press: 674–689. doi:10.1145/2660267.2660347. ISBN 978-1-4503-2957-6. S2CID 8127620.
  13. ^ Soltani, Ashkan; Canty, Shannon; Mayo, Quentin; Thomas, Lauren; Hoofnagle, Chris Jay (2009-08-10). "Flash Cookies and Privacy". Rochester, NY. SSRN 1446862. Cite 저널은 필요로 한다. journal= (도움말)
  14. ^ a b Ayenson, Mika D.; Wambach, Dietrich James; Soltani, Ashkan; Good, Nathan; Hoofnagle, Chris Jay (2011-07-29). "Flash Cookies and Privacy II: Now with HTML5 and ETag Respawning". Rochester, NY. SSRN 1898390. Cite 저널은 필요로 한다. journal= (도움말)
  15. ^ a b Andrés, José Angel González (2011-07-01). "Identity Denial in Internet". Inteligencia y Seguridad. 2011 (10): 75–101. doi:10.5211/iys.10.article6. ISSN 1887-293X.
  16. ^ a b c d "Samy Kamkar - Evercookie".
  17. ^ "Evercookie source code". GitHub. 2010-10-13. Retrieved 2010-10-28.
  18. ^ "Schneier on Security - Evercookies". 2010-09-23. Retrieved 2010-10-28.
  19. ^ "Tackling Cross-Site Scripting (XSS) Attacks in Cyberspace", Securing Cyber-Physical Systems, CRC Press, pp. 350–367, 2015-10-06, doi:10.1201/b19311-18, ISBN 978-0-429-09104-9, retrieved 2020-12-11
  20. ^ "It is possible to kill the evercookie". 2010-10-27.
  21. ^ Vega, Tanzina (2010-10-11). "New Web Code Draws Concern Over Privacy Risks (Published 2010)". The New York Times. ISSN 0362-4331. Retrieved 2020-12-06.
  22. ^ Nielsen, Janne (2019-10-02). "Experimenting with computational methods for large-scale studies of tracking technologies in web archives". Internet Histories. 3 (3–4): 293–315. doi:10.1080/24701475.2019.1671074. ISSN 2470-1475. S2CID 208121899.
  23. ^ Samarasinghe, Nayanamana; Mannan, Mohammad (November 2019). "Towards a global perspective on web tracking". Computers & Security. 87: 101569. doi:10.1016/j.cose.2019.101569. ISSN 0167-4048. S2CID 199582679.
  24. ^ "Researchers Call Out Websites for Tracking Users via Stealth Tactics". Berkeley Law. Retrieved 2020-12-06.
  25. ^ "KISSmetrics, Hulu Sued Over New Tracking Technology". www.mediapost.com. Retrieved 2020-12-06.
  26. ^ "KISSmetrics Settles Supercookies Lawsuit". www.mediapost.com. Retrieved 2020-12-06.
  27. ^ Drury, Alexandra (2012). "How Internet Users' Identities Are Being Tracked and Used". Tulane Journal of Technology & Intellectual Property. 15. ISSN 2169-4567.
  28. ^ "Tor stinks" (PDF). edwardsnowden.com.
  29. ^ "TOR attacked – possibly by the NSA". Network Security. 2013 (8): 1–2. August 2013. doi:10.1016/s1353-4858(13)70086-2. ISSN 1353-4858.
  30. ^ Vlajic, Natalija; Madani, Pooria; Nguyen, Ethan (2018-04-03). "Clickstream tracking of TOR users: may be easier than you think". Journal of Cyber Security Technology. 2 (2): 92–108. doi:10.1080/23742917.2018.1518060. ISSN 2374-2917. S2CID 169615236.
  31. ^ Martin, Kelly D.; Murphy, Patrick E. (2016-09-22). "The role of data privacy in marketing". Journal of the Academy of Marketing Science. 45 (2): 135–155. doi:10.1007/s11747-016-0495-4. ISSN 0092-0703. S2CID 168554897.
  32. ^ Chen, G.; Cox, J. H.; Uluagac, A. S.; Copeland, J. A. (Third Quarter 2016). "In-Depth Survey of Digital Advertising Technologies". IEEE Communications Surveys and Tutorials. 18 (3): 2124–2148. doi:10.1109/COMST.2016.2519912. ISSN 1553-877X. S2CID 32263374.
  33. ^ Korolova, A. (December 2010). "Privacy Violations Using Microtargeted Ads: A Case Study". 2010 IEEE International Conference on Data Mining Workshops: 474–482. doi:10.1109/ICDMW.2010.137. ISBN 978-1-4244-9244-2. S2CID 206785467.
  34. ^ Mellet, Kevin; Beauvisage, Thomas (2019-09-02). "Cookie monsters. Anatomy of a digital market infrastructure". Consumption Markets & Culture. 23 (2): 110–129. doi:10.1080/10253866.2019.1661246. ISSN 1025-3866. S2CID 203058303.
  35. ^ "Dataveillance and Countervailance", "Raw Data" Is an Oxymoron, The MIT Press, 2013, doi:10.7551/mitpress/9302.003.0009, ISBN 978-0-262-31232-5, retrieved 2020-12-11