Help us understand the problem. What is going on with this article?

Googleが発表したITPの欠陥を眺めてみる

Googleが投稿したITPの欠陥に関する論文の紹介です。

tl;dr

  • ITPのトラッキング判定はデバイス毎に行われるよ
  • あるドメインがトラッキング判定されているかを知る方法がいくつかあるよ
    • 特にそのドメイン・サイトが攻撃者管理なら
  • ので、閲覧情報のリークやフィンガープリントとして使われる可能性があるよ

指摘している問題

この論文では、

  • あるドメインがトラッキング判定されているか、別のサイト(攻撃者管理)で判断出来る(1,2,3,5)
  • 攻撃者が、あるドメインをトラッキング判定させることが意図的に出来る(2,3,4)

ことがマズい場合を指摘しています。

1.トラッキング判定されているドメインを判定出来る(かもしれない)

トラッキング判定はユーザー毎に異なるので、トラッキング判定されているドメインがわかると、ユーザーの地域などがわかる可能性があります。
(例:hoge.co.jpがトラッキング判定されているから、日本在住っぽい)

2. ユーザーがあるWebサイトにアクセスしたかがわかる(かもしれない)

あるドメインがトラッキング判定されていれば、そこにリクエストするサイトに一回はアクセスしたことを意味します。
攻撃者管理のドメインを使えば、攻撃者のサイト(A)を訪れた後、別の攻撃者のサイト(B)で、サイトAへのアクセスの有無を判別することが出来ます。

3.フィンガープリントとして使われる(かもしれない)

  1. ユーザーに適当なビット列を割り振る
  2. 各ビットを攻撃者管理のドメインに対応させる
  3. 値が1なビットに対応するドメインをトラッキング判定させるようにリクエスト
  4. 以降、各ドメインがトラッキング判定されているかを調べ、ビット列を復元する

とすると、サイトを跨いでユーザーを特定するフィンガープリントに使えてしまいます。
同じようなことを、HTTPからHTTPSへのリダイレクトの記憶(HSTS)で行う手法もある(あった?)らしいです
techscoreさんの解説がわかりやすいです)。

4.管理外のドメインをトラッキング判定に加えられる

攻撃者が管理していないドメインをトラッキング判定させることで、シングルサインオンなどのサービスを使用不可出来てしまうよねという話。

5. 検索結果のリーク(Cross-Site Search攻撃)

ITP以前からCross-Site Search Attacksという攻撃があります(mbsdさんの解説がわかりやすいです)。
攻撃者のサイトから検索を受け付けるページ(ECサイトとかWebメール)にリクエストを投げ、レスポンス時間の違いで、ユーザーの情報を探ろうとする攻撃です、

検索結果がトラッキング判定されるドメインへのアクセスを含んでいる場合、同じ事がITPのトラッキング判定でも出来てしまう可能性があるよという話です。

トラッキング判定されているかの判定

攻撃者がこの欠陥を利用するには、ドメインがトラッキング判定されているかを、攻撃者のサイトが知ることとが必要です(4除く)。
論文にはその方法がいくつか記載されています。

  • 攻撃者が判定したいサイトを管理している場合、リファラかクッキーを見れば判定がわかる
  • アクセス先に送るリファラ(=アクセス元のURL)をむっちゃ長くして送ってみる
    • アクセス先がトラッカー判定されていなければ、リクエストサイズが多すぎてリクエストが失敗する(サイトの設定次第)
    • アクセス先がトラッカー判定されていれば、リファラが短縮され、リクエストが成功する
  • などなど…
kurtosis
ただのプログラマー
brainpad
ブレインパッドは、2004年の創業以来、データによるビジネス創造と経営改善に向き合ってきたデータ活用・分析企業です。
http://www.brainpad.co.jp/
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした