Evercookie (también conocida como supercookie [1] ) es una interfaz de programación de aplicaciones (API) de JavaScript que identifica y reproduce cookies eliminadas intencionalmente en el almacenamiento del navegador de los clientes. [2] Fue creado por Samy Kamkar en 2010 para demostrar la posible infiltración de los sitios web que utilizan la reaparición. [3] Los sitios web que han adoptado este mecanismo pueden identificar a los usuarios incluso si intentan eliminar las cookies almacenadas previamente. [4]
En 2013, Edward Snowden filtró un documento de alto secreto de la NSA que mostraba que Evercookie puede rastrear a los usuarios de Tor (redes de anonimato). [5] Muchas empresas populares utilizan funciones similares a Evercookie para recopilar información y realizar un seguimiento de los usuarios. [1] [6] La investigación adicional sobre huellas digitales y motores de búsqueda también se inspira en la capacidad de Evercookie para rastrear a un usuario de manera persistente. [4] [5] [7]
Fondo
Hay tres almacenamientos de datos de uso común, que incluyen cookies HTTP, cookies flash, almacenamiento HTML5 y otros. [1] [8] Cuando el usuario visita un sitio web por primera vez, el servidor web generará un identificador único y lo almacenará en el navegador del usuario o en el espacio local. [9] El sitio web puede leer e identificar al usuario en sus futuras visitas con el identificador almacenado, y el sitio web puede guardar las preferencias del usuario y mostrar anuncios de marketing. [9] Debido a problemas de privacidad, todos los principales navegadores incluyen mecanismos para eliminar y / o rechazar las cookies de los sitios web. [9] [10]
En respuesta a la creciente falta de voluntad de los usuarios para aceptar cookies, muchos sitios web emplean métodos para evitar la eliminación de cookies por parte de los usuarios. [11] A partir de 2009, muchos equipos de investigación encontraron sitios web populares que usaban cookies flash, ETags y otros tipos de almacenamiento de datos para reconstruir las cookies eliminadas por los usuarios, incluidos hulu.com, foxnews.com, spotify.com, etc. [1] [12] [13] [14] En 2010, Samy Kamkar, un programador californiano, construyó un proyecto Evercookie para ilustrar aún más el mecanismo de seguimiento con la reaparición a través de varios mecanismos de almacenamiento en los navegadores. [3]
Descripción
Evercookie se crea con software malicioso en codificación Javascript, y su objetivo es identificar siempre a los usuarios, incluso después de que hayan intentado eliminar las cookies en sus servidores. [15] Samy Kamkar lanzó v0.4 beta de evercookie el 13 de septiembre de 2010 como código abierto . [16] [17] [18] Este javascript de evercookie no se limita a la reaparición de cookies HTTP eliminadas, sino a cualquier almacenamiento en los navegadores. [16] Cuando un navegador visita un sitio web con la API evercookie en su servidor, el servidor web genera un identificador y lo almacena en varios mecanismos de almacenamiento disponibles en ese navegador. [2] Si el usuario elimina algunos, pero no todos, los identificadores almacenados en el navegador y vuelve a visitar el sitio web, el servidor web recupera el identificador de las capacidades almacenadas restantes que el usuario no puede eliminar. [16] Luego, el servidor web copiará y restaurará este identificador a las capacidades de almacenamiento previamente borradas. [19]
Al abusar de los diversos mecanismos de almacenamiento disponibles, evercookie crea identificadores de datos persistentes, porque es poco probable que los usuarios borren todos los mecanismos de almacenamiento. [20] De la lista proporcionada por Samy Kamkar, [16] 17 mecanismos de almacenamiento podrían usarse para la versión 0.4 beta evercookie cuando estén disponibles en los navegadores:
- Cookies HTTP estándar
- Seguridad de transporte estricta HTTP (HSTS)
- Objetos compartidos locales (cookies Flash)
- Almacenamiento aislado de Silverlight
- Almacenamiento de cookies en valores RGB de PNGs forzados y generados automáticamente mediante la etiqueta HTML5 Canvas para volver a leer píxeles (cookies)
- Almacenamiento de cookies en el historial web
- Almacenamiento de cookies en ETags HTTP
- Almacenamiento de cookies en la caché web
- almacenamiento en caché de window.name
- Usuario de Internet Explorer Almacenamiento de datos
- Almacenamiento web de sesión HTML5
- Almacenamiento web local HTML5
- Almacenamiento global HTML5
- Base de datos HTML5 Web SQL a través de SQLite
- HTML5 IndexedDB
- Java JNLP PersistenceService
- Explotación de Java CVE-2013-0422
Samy Kamkar afirmó que no tenía la intención de utilizar este proyecto de evercookie para violar la privacidad de los usuarios de Internet o venderlo a terceros para uso comercial. Sin embargo, sirve de inspiración para otros sitios web comerciales que luego implementan mecanismos similares para restaurar las cookies eliminadas por el usuario. El proyecto evercookie es de código abierto y todos pueden acceder a él y examinarlo. El proyecto incorpora HTML5 como uno de los mecanismos de almacenamiento, que fue lanzado 6 meses antes del proyecto y ganó la atención del público debido a su persistencia adicional. Kamkar deseaba que su proyecto pudiera demostrar cómo las herramientas de seguimiento contemporáneas pueden infiltrarse en la privacidad de los usuarios. [21] Hasta ahora, el complemento del navegador Firefox "Anonymizer Nevercookie" puede bloquear la reaparición de evercookie. [15]
Los mecanismos de almacenamiento incorporados en el proyecto evercookie se actualizan constantemente, lo que agrega la persistencia de evercookie. Dado que incorpora muchos métodos de seguimiento existentes, evercookie proporciona una herramienta avanzada de seguimiento de datos que reduce la redundancia de los métodos de recopilación de datos en muchos sitios web comerciales. [22] [23] Con su inspiración, un número creciente de sitios web comerciales utilizaron la idea de evercookie, y la agregaron incorporando nuevos vectores de almacenamiento. En 2014, un equipo de investigación de la Universidad de Princeton realizó un estudio a gran escala de tres herramientas de seguimiento persistentes: evercookie, huellas dactilares en lienzo y sincronización de cookies. El equipo rastreó y analizó los 100.000 sitios web principales de Alexa y detecta un nuevo vector de almacenamiento, IndexedDB, que está incorporado en el mecanismo de evercookie y utilizado por weibo.com. El equipo afirmó que esta es la primera detección de uso comercial de indexedDB. [12] Además, el equipo descubre que la sincronización de cookies se utiliza junto con evercookie. La sincronización de cookies permite compartir datos entre diferentes mecanismos de almacenamiento, lo que facilita el proceso de reaparición de evercookie en diferentes ubicaciones de almacenamiento en los navegadores de los usuarios. El equipo también descubrió instancias de cookies flash que reaparecían cookies HTTP y cookies HTTP que reaparecían las cookies flash en los sitios web comerciales. Esos dos mecanismos son diferentes del proyecto evercookie en términos de la cantidad de mecanismos de almacenamiento empleados, pero poseen la misma ideología. Entre los sitios que rastreó el equipo de investigación, 10 de 200 sitios web utilizaron cookies flash para reconstruir las cookies HTTP. 9 de los sitios observados pertenecen a China, incluidos sina.com.cn, weibo.com, hao123.com, sohu.com, ifeng.com, youku.com, 56.com, letv.com y tudo.com). El otro sitio web es yandex.ru, uno de los principales motores de búsqueda de Rusia.
Aplicaciones
Un equipo de investigación de la Universidad Tecnológica de Eslovaquia propuso un mecanismo para que los motores de búsqueda infieran las palabras de búsqueda deseadas por los usuarios de Internet y produzcan resultados de búsqueda personalizados. A menudo, las consultas de los usuarios de Internet contienen múltiples significados y abarcan diferentes campos. Como resultado, los resultados de búsqueda mostrados por el motor de búsqueda contienen una multitud de información, muchas de las cuales no están relacionadas con el buscador. Los autores propusieron que la identidad de los buscadores y la preferencia del usuario tienen una fuerte indicación sobre el significado de las consultas y pueden reducir en gran medida la ambigüedad de la palabra de búsqueda. El equipo de investigación construyó un modelo basado en metadatos para extraer la información de los usuarios con evercookie, e integró este modelo de interés del usuario en el motor de búsqueda para mejorar la personalización del resultado de la búsqueda. El equipo era consciente de que los sujetos del experimento pueden eliminar fácilmente las cookies tradicionales, por lo que los datos del experimento están incompletos. Luego, el equipo de investigación utilizó la persistencia de evercookie. [4]
Aplicaciones controvertidas
Demanda de privacidad de KISSMetrics
El viernes 29 de julio de 2011, un equipo de investigación de la Universidad de California en Berkeley rastreó los 100 sitios web principales de EE. UU. Basados en QuantCast. El equipo encontró KISSmetrics, un sitio web de terceros que proporciona herramientas analíticas de marketing, utilizó cookies HTTP, cookies Flash, ETags y algunos, pero no todos, los mecanismos de almacenamiento empleados en el proyecto Evercookie de Samy Kamkar para reaparecer la información eliminada del usuario. [1] Otros sitios web populares, como hulu.com y spotify.com, emplearon KISSmetrics para reavivar las cookies de origen HTML5 y HTTP. El equipo de investigación afirmó que esta era la primera vez que se observó que Etag se usaba en entornos comerciales. [14]
El mismo día de la publicación del informe, Hulu y Spotify anunciaron su uso suspendido de KISSmetrics para una mayor investigación. [24] Dos consumidores demandaron a KISSmetrics el viernes por su violación de la privacidad del usuario. [25] KISSMetrics revisó sus políticas de privacidad durante el fin de semana, indicando que la compañía había respetado plenamente la voluntad de los clientes si optaban por no ser rastreados. El 4 de agosto de 2011, el CEO de KISSmetrics, Hiten Shah, negó la implementación de KISSmetrics de evercookie y otros mecanismos de seguimiento mencionados en el informe, y afirmó que la compañía solo usaba rastreadores legítimos de cookies de origen. [1] El 19 de octubre de 2012, KISSmetrics acordó pagar más de $ 500,000 para resolver la acusación y prometió abstenerse de usar evercookie. [26] [27]
Seguimiento NSA Tor
En 2013, Edward Snowden reveló una presentación interna de la Agencia de Seguridad Nacional ( NSA ), sugiriendo el uso de Evercookie en la vigilancia gubernamental para rastrear a los usuarios de Tor. [5] [28] El Blog de TOR respondió a este documento filtrado en una publicación, asegurando que el sistema operativo TOR Browser Bundles y Tails proporciona fuertes protecciones contra evercookie. [29] [30]
Actitudes públicas hacia el seguimiento de datos
Evercookie, y muchas otras nuevas tecnologías emergentes en el seguimiento de datos persistentes, es una respuesta a la tendencia de los usuarios de Internet a eliminar el almacenamiento de cookies. En este sistema de intercambio de información, algunos consumidores creen que están siendo compensados con una mayor personalización de la información o, en ocasiones, incluso una compensación económica por parte de las empresas relacionadas. [31] Sin embargo, investigaciones relacionadas recientes muestran una brecha entre las expectativas del consumidor y los comercializadores. [32] Un Wall Street Journal mostró que el 72% se sintió ofendido cuando ven anuncios dirigidos mientras navegaban por Internet. Otra encuesta mostró que el 66% de los estadounidenses se sentían negativos acerca de cómo los especialistas en marketing rastrean sus datos para generar información individualizada. En otra encuesta, al 52% de los encuestados le gustaría desactivar la publicidad basada en el comportamiento. [33] Sin embargo, el comportamiento del seguimiento de datos persistió, ya que proporciona conocimiento a todos los participantes del mercado, una mayor capitalización de este conocimiento en productos comercializables y operación en las acciones finales de marketing. [34] [35]
Ver también
- Huella digital del dispositivo
- Huellas digitales en lienzo
- Cookie HTTP
- Cookie flash (objeto compartido local)
- almacenamiento web
- API de base de datos indexada
- Base de datos web SQL
- Google Gears
- Seguimiento web
- Pujas en tiempo real
- navegador web
- Privacidad en Internet
- HTML5
- JavaScript
- API
- Caché (informática)
- Seguridad del navegador
- Extensión del navegador
Referencias
- ^ a b c d e f Bujlow, Tomasz; Carela-Español, Valentin; Lee, Beom-Ryeol; Barlet-Ros, Pere (2017). "Una encuesta sobre seguimiento web: mecanismos, implicaciones y defensas" . Actas del IEEE . 105 (8): 1476-1510. doi : 10.1109 / jproc.2016.2637878 . hdl : 2117/108437 . ISSN 0018-9219 . S2CID 2662250 .
- ^ a b Acar, Gunes; Eubank, Christian; Englehardt, Steven; Juárez, Marc; Narayanan, Arvind; Díaz, Claudia (2014). "La Web nunca olvida" . Actas de la Conferencia ACM SIGSAC de 2014 sobre seguridad informática y de comunicaciones - CCS '14 . Nueva York, Nueva York, EE. UU .: ACM Press: 674–689. doi : 10.1145 / 2660267.2660347 . ISBN 978-1-4503-2957-6. S2CID 8127620 .
- ^ a b Bashir, Muhammad Ahmad; Wilson, Christo (1 de octubre de 2018). "Difusión de datos de seguimiento de usuarios en el ecosistema de publicidad online" . Procedimientos sobre tecnologías de mejora de la privacidad . 2018 (4): 85–103. doi : 10.1515 / popets-2018-0033 . ISSN 2299-0984 . S2CID 52088002 .
- ^ a b c Kramár, Tomáš; Barla, Michal; Bieliková, Mária (1 de febrero de 2013). "Personalización de la búsqueda utilizando un modelo de interés socialmente mejorado, construido a partir del flujo de actividad del usuario" . Revista de Ingeniería Web . 12 (1–2): 65–92. ISSN 1540-9589 .
- ^ a b c Kobusińska, Anna; Pawluczuk, Kamil; Brzeziński, Jerzy (2018). "Análisis de información de huellas dactilares de Big Data para la sostenibilidad" . Sistemas informáticos de futura generación . 86 : 1321-1337. doi : 10.1016 / j.future.2017.12.061 . ISSN 0167-739X .
- ^ Koop, Martin; Tews, Erik; Katzenbeisser, Stefan (1 de octubre de 2020). "Evaluación en profundidad del seguimiento de redireccionamiento y uso de enlaces" . Procedimientos sobre tecnologías de mejora de la privacidad . 2020 (4): 394–413. doi : 10.2478 / popets-2020-0079 . ISSN 2299-0984 .
- ^ Al-Fannah, Nasser Mohammed; Mitchell, Chris (7 de enero de 2020). "Demasiado poco y demasiado tarde: ¿podemos controlar las huellas digitales del navegador?" . Revista de Capital Intelectual . 21 (2): 165–180. doi : 10.1108 / jic-04-2019-0067 . ISSN 1469-1930 .
- ^ Zhiju, Yang; Chuan, Yue (1 de abril de 2020). "Un estudio de medición comparativa del seguimiento web en entornos móviles y de escritorio" . Procedimientos sobre tecnologías de mejora de la privacidad . Consultado el 11 de diciembre de 2020 .
- ^ a b c Yue, Chuan; Xie, Mengjun; Wang, Haining (septiembre de 2010). "Un sistema automático de gestión de cookies HTTP" . Redes informáticas . 54 (13): 2182–2198. doi : 10.1016 / j.comnet.2010.03.006 . ISSN 1389-1286 .
- ^ fouad, Imane; Bielova, Natalia; Legout, Arnaud; Sarafijanovic-Djukic, Natasa (1 de abril de 2020). "Perdido por listas de filtros: detección de rastreadores de terceros desconocidos con píxeles invisibles" . Procedimientos sobre tecnologías de mejora de la privacidad . 2020 (2): 499–518. doi : 10.2478 / popets-2020-0038 . ISSN 2299-0984 .
- ^ Cook, John; Nithyanand, Rishab; Shafiq, Zubair (1 de enero de 2020). "Inferir relaciones rastreador-anunciante en el ecosistema de publicidad en línea mediante la licitación de encabezado" . Procedimientos sobre tecnologías de mejora de la privacidad . 2020 (1): 65–82. doi : 10.2478 / popets-2020-0005 . ISSN 2299-0984 .
- ^ a b Acar, Gunes; Eubank, Christian; Englehardt, Steven; Juárez, Marc; Narayanan, Arvind; Díaz, Claudia (2014). "La Web nunca olvida: mecanismos de seguimiento persistentes en la naturaleza" . Actas de la Conferencia ACM SIGSAC de 2014 sobre seguridad informática y de comunicaciones - CCS '14 . Scottsdale, Arizona, EE.UU .: ACM Press: 674–689. doi : 10.1145 / 2660267.2660347 . ISBN 978-1-4503-2957-6.
- ^ Soltani, Ashkan; Canty, Shannon; Mayo, Quentin; Thomas, Lauren; Hoofnagle, Chris Jay (10 de agosto de 2009). "Cookies Flash y Privacidad" . Rochester, Nueva York. Cite journal requiere
|journal=
( ayuda ) - ^ a b Ayenson, Mika D .; Wambach, Dietrich James; Soltani, Ashkan; Bien, Nathan; Hoofnagle, Chris Jay (29 de julio de 2011). "Flash Cookies y Privacidad II: Ahora con HTML5 y ETag Respawning" . Rochester, Nueva York. Cite journal requiere
|journal=
( ayuda ) - ^ a b Andrés, José Angel González (1 de julio de 2011). "Denegación de identidad en Internet" . Inteligencia y Seguridad . 2011 (10): 75–101. doi : 10.5211 / iys.10.article6 . ISSN 1887-293X .
- ^ a b c d "Samy Kamkar - Evercookie" .
- ^ "Código fuente de Evercookie" . 2010-10-13 . Consultado el 28 de octubre de 2010 .
- ^ "Schneier sobre seguridad - Evercookies" . 2010-09-23 . Consultado el 28 de octubre de 2010 .
- ^ "Abordar los ataques de secuencias de comandos entre sitios (XSS) en el ciberespacio" , Protección de los sistemas ciberfísicos, CRC Press, págs. 350–367, 2015-10-06, ISBN 978-0-429-09104-9, consultado 2020-12-11
- ^ "Es posible matar a la Evercookie" . 2010-10-27.
- ^ Vega, Tanzina (11 de octubre de 2010). "El nuevo código web genera preocupación sobre los riesgos de privacidad (publicado en 2010)" . The New York Times . ISSN 0362-4331 . Consultado el 6 de diciembre de 2020 .
- ^ Nielsen, Janne (2 de octubre de 2019). "Experimentar con métodos computacionales para estudios a gran escala de tecnologías de rastreo en archivos web" . Historias de Internet . 3 (3–4): 293–315. doi : 10.1080 / 24701475.2019.1671074 . ISSN 2470-1475 .
- ^ Samarasinghe, Nayanamana; Mannan, Mohammad (noviembre de 2019). "Hacia una perspectiva global del seguimiento web" . Computadoras y seguridad . 87 : 101569. doi : 10.1016 / j.cose.2019.101569 . ISSN 0167-4048 .
- ^ "Los investigadores llaman a los sitios web para rastrear a los usuarios a través de tácticas de sigilo" . Ley de Berkeley . Consultado el 6 de diciembre de 2020 .
- ^ "KISSmetrics, Hulu demandado por nueva tecnología de seguimiento" . www.mediapost.com . Consultado el 6 de diciembre de 2020 .
- ^ "KISSmetrics resuelve demanda de supercookies" . www.mediapost.com . Consultado el 6 de diciembre de 2020 .
- ^ Drury, Alexandra (2012). "Cómo se rastrean y utilizan las identidades de los usuarios de Internet" . Revista Tulane de Tecnología y Propiedad Intelectual . 15 . ISSN 2169-4567 .
- ^ "Tor apesta" (PDF) . edwardsnowden.com .
- ^ "TOR atacado - posiblemente por la NSA" . Seguridad de la red . 2013 (8): 1–2. Agosto de 2013. doi : 10.1016 / s1353-4858 (13) 70086-2 . ISSN 1353-4858 .
- ^ Vlajic, Natalija; Madani, Pooria; Nguyen, Ethan (3 de abril de 2018). "Clics seguimiento de los usuarios de Tor: puede ser más fácil de lo que piensa" . Revista de tecnología de seguridad cibernética . 2 (2): 92–108. doi : 10.1080 / 23742917.2018.1518060 . ISSN 2374-2917 .
- ^ Martin, Kelly D .; Murphy, Patrick E. (22 de septiembre de 2016). "El papel de la privacidad de los datos en el marketing" . Revista de la Academia de Ciencias del Marketing . 45 (2): 135-155. doi : 10.1007 / s11747-016-0495-4 . ISSN 0092-0703 .
- ^ Chen, G .; Cox, JH; Uluagac, AS; Copeland, JA (tercer trimestre de 2016). "Encuesta en profundidad de tecnologías de publicidad digital" . Encuestas y tutoriales de comunicaciones de IEEE . 18 (3): 2124–2148. doi : 10.1109 / COMST.2016.2519912 . ISSN 1553-877X .
- ^ Korolova, A. (diciembre de 2010). "Violaciones de privacidad mediante anuncios de orientación micro: un caso de estudio" . Talleres de la Conferencia Internacional sobre Minería de Datos del IEEE 2010 : 474–482. doi : 10.1109 / ICDMW.2010.137 .
- ^ Mellet, Kevin; Beauvisage, Thomas (2 de septiembre de 2019). "Monstruos de las galletas. Anatomía de una infraestructura de mercado digital" . Mercados de consumo y cultura . 23 (2): 110-129. doi : 10.1080 / 10253866.2019.1661246 . ISSN 1025-3866 .
- ^ "Vigilancia de datos y contradisponibilidad" , "Datos sin procesar" es un oxímoron , The MIT Press, 2013, ISBN 978-0-262-31232-5, consultado 2020-12-11