作者丨DAN GOODIN
譯者丨大小非
策劃丨褚杏娟
在最近發布的一項研究報告中,微軟的 Edge 在隱私評級中獲得了最低分,該研究主要是對市場上主流的瀏覽器收集用戶信息的行為進行了比較。俄羅斯網絡搜索供應商 Yandex 開發的瀏覽器 Yandex 在隱私方面得分略好於 Edge。排名最高的瀏覽器是 Brave,它把保護用戶隱私放在了最重要的位置上。
都柏林 Trinity 學院的計算機科學家 Doug Leith 在一篇研究論文中公布了這一排名。他分析並評估了谷歌 Chrome、Mozilla Firefox、Apple Safari、Brave、Edge 和 Yandex 提供的隱私功能。
Leith 的具體做法是,研究瀏覽器發送出去的數據,包括唯一標識符和 URL 攜帶的相關詳細信息,通過這些信息瀏覽器可以對用戶進行追蹤。
根據研究結果 Leith 將這些瀏覽器歸為了三類,最好的第一類是 Brave,中等的第二類是 Chrome、Firefox 和 Safari,最差的第三類是 Edge 和 Yandex。
Leith 在論文中寫道:
從隱私保護的角度來看,微軟的 Edge 和 Yandex 與其他被研究的瀏覽器在本質上是不同的。兩者都上傳可用於將請求 (以及相關的 IP 地址 / 位置) 鏈接到後端伺服器的永久標識符。Edge 還會將設備的硬體 UUID 發送給 Microsoft,Yandex 做法也類似,它會將一個哈希硬體標識符傳輸到後端伺服器。據我所知,用戶是無法禁止這種行為的。除了搜索自動填充功能需要用到所訪問網頁的詳細信息外,兩者都會將網頁信息上傳到與該功能不相關的伺服器上。
強大且刪除不掉的標識符
研究發現,Edge 和 Yandex 都會上傳與設備硬體綁定的標識符。這些特殊的字元串還可以鏈接到同一設備上運行的各種應用程序,即使在瀏覽器重新安裝之後仍然還在。Edge 將設備的通用唯一標識符上傳到位於 self.events.data.microsoft.com 的 Microsoft 伺服器上。這個標識符很難更改或刪除。
研究人員表示,Edge 的自動補全功會將訪問網站的詳細信息發送到後端伺服器,但用戶無法禁用該功能。不過,Ars 的讀者 karinto 在評論中對這個問題進行了指正,他說可以禁用該功能,並給出了方法。
Yandex 通過自動補全功能收集硬體 MAC 地址的哈希加密值和訪問網站的詳細信息,這些在 Yandex 上倒是可以禁用的。通過 Edge 和 Yandex 收集的瀏覽器所在硬體的標識符,這些歷史數據在重新安裝瀏覽器後仍然可以繼續保存,也同樣可以用來與設備上其它各應用程序建立聯繫。這些標識符還會被用來對用戶 IP 地址進行持續性的追蹤。
該研究報告指出,“將設備的標識符傳到後台伺服器是很危險的事情,因為它是用戶設備持久性的強標識,Edge 根據需要可以對這一數據信息進行加工處理,甚至給其它應用程序使用(允許在同一生產商的應用程序間共享數據),用戶還不能輕易的做出更改。”
微軟的一名代表在不具名的情況下做了尚沒有驗證的回復,不過她並沒有給出 Edge 這樣做的理由。她解釋說,在使用前 Edge 會征求收集用戶行為數據的許可,這樣做是為了改進優化產品。而且這個功能也是可以關閉的。雖然這些數據“可能”包含了被訪問網站的信息,但它並沒有存儲在用戶的微軟账戶中。
瀏覽器同步
當用戶登錄到 Edge 後,他們可以同步自己的瀏覽器歷史記錄,以便在其他設備上使用。用戶可以在 privacy.microsoft.com 的隱私功能設置上查看和刪除此歷史記錄。微軟 smartscreen 是 Windows 10 上的一項防護功能,可以防止網絡釣魚和惡意軟體網站,並且通過檢查用戶訪問的 URL,幫助用戶檢測是否在下載潛在的惡意文件。用戶可以通過 Edge 的隱私和服務設置禁用這些默認功能。
利用唯一標識符,可以幫助 Edge 用戶隻通過一步操作就能刪除存儲在 Microsoft 伺服器上的相關診斷數據。
對於處在第一類裡的 Brave,研究發現,Brave 的默認設置中提供了很多隱私權限,不過它沒有允許跟蹤 IP 地址的標識符集合,也沒有允許與後端伺服器共享訪問過的網頁的詳細信息。
第二陣營的瀏覽器
Chrome、Firefox 和 Safari 是屬於中間陣營的。在輸入 URL 時,這三種瀏覽器的自動補全功能都能實時傳輸已訪問站點的詳細信息。但是,可以禁用這些默認設置。其他可能侵犯用戶隱私的行為還有:
Chrome:上傳一個持久化的標識符和網站地址,並將這兩個信息進行關聯。
Firefox:在遙測傳輸中包含可隨時間鏈接這些內容的標識符 (遙測功能默認打開,但可以禁用)。Firefox 還為推送通知打開了一個永久的 websocket。研究人員表示,websocket 與一個唯一的標識符鏈接,可以用來追蹤設備且不容易被禁用。
Safari:默認情況下,啟動頁面會將信息洩露給“多個第三方”,這些第三方可以將包含標識符的頁面預加載到瀏覽器緩存中。更重要的是,相關的 iCloud 進程還建立了包含標識符的連接。
蘋果官員拒絕對該報告置評,但同時指出,Safari 在默認情況下提供了對第三方 cookie 屏蔽的功能,還有一項名為智能跟蹤防護 (Intelligent Tracking Prevention) 的功能,這兩項功能對第三方網站都限制了獲取用戶信息的能力。
Mozilla 官員在一份聲明中寫道:
只有當用戶打開同步服務時,瀏覽歷史才會被上傳到 Mozilla,同步服務的目的是為了在用戶的設備之間共享數據。與其他瀏覽器不同的是,同步數據是端到端加密的,因此 Mozilla 也無法訪問它。
Firefox 確實收集了一些關於用戶如何與我們的產品互動的技術數據,但這並不包括用戶的瀏覽歷史。此數據與隨機生成的唯一標識符一起上傳到伺服器。IP 地址將被保留一段時間,用於安全和欺詐檢測,之後便會被刪除。它們從遙測數據中分離出來,不用於關聯不同瀏覽會話的用戶活動。
正如研究報告本身所指出的,“將用戶數據傳輸到後端伺服器本質上並不是一種隱私侵犯。“通過限定收集和數據保存,並對用戶與我們共享的數據進行加密和匿名保護,Firefox 致力於保護人們的隱私,並提供安全的瀏覽體驗。”透明公開的流程和實踐證實了我們把用戶需求放在首位的承諾。
谷歌官方目前還沒有對研究結果做出回應。如果稍後有回應,我們會及時更新。我們研究分析的瀏覽器分別是 Chrome 版本 80.0.3987.87、Firefox 73.0、Brave 1.3.115、Safari 13.0.3、Edge 80.0.361.48、Yandex 20.2.0.1145。
正如蘋果公司之前的評論所說的那樣,這項研究對瀏覽器安全的判定相對狹隘,因為它沒有考慮對第三方追蹤進行阻止的一面。儘管如此,這篇論文還是很好地說明了為什麽 Chrome、Firefox 和 Safari 的用戶使用 Edge 時,即便禁用了網站的自動填充功能,但從來沒有效果。微軟的上述回應也提供了防止其他一些數據上傳的方法。雖然該瀏覽器為了抵禦攻擊提供了增強的安全措施,但假如你更在意隱私保護的話,應該禁用它的默認設置,或者乾脆換個瀏覽器。
參考閱讀:
https://arstechnica.com/information-technology/2020/03/study-ranks-edges-default-privacy-settings-the-lowest-of-all-major-browsers/
香港九龍灣馬來街興發大廈15樓D室