SugarCoat可自動保護瀏覽器的隱私資料

banq發表於2021-11-23
瀏覽器

加州大學聖地亞哥分校的電腦科學家團隊和 Brave Software 開發了一種工具,可以在使用者瀏覽網路時加強對使用者隱私資料的保護。
研究人員在 2021 年 11 月 14 日至 19 日在韓國首爾舉行的 ACM 計算機和通訊安全會議 (CCS) 上描述了他們的工作。
SugarCoat 是一個實用的系統,旨在解決當今以隱私為中心的工具面臨的雙輸困境:阻止損害隱私的指令碼,但破壞依賴它們的網站;或保持網站正常執行,但放棄隱私。
SugarCoat 透過允許指令碼執行來消除這種權衡,從而保持相容性,同時防止指令碼訪問使用者私有資料。SugarCoat 與現有的內容攔截工具(如廣告攔截器)整合,使使用者能夠在不放棄隱私的情況下瀏覽網頁。
大多數現有的內容阻止工具做出非常粗粒度的決定:它們要麼完全阻止,要麼完全允許指令碼執行,這取決於指令碼是否出現在危害隱私的指令碼的公共列表中。然而,在實踐中,一些指令碼既會損害隱私,又是網站正常執行所必需的。
不過,有一個更好的方法:內容阻止工具可以用替代的隱私保護版本替換其原始碼,而不是完全阻止指令碼或允許它執行,用看起來相同的虛假版本替換原來指令碼。
。這確保內容阻止工具不會破壞嵌入這些指令碼的網頁,並且指令碼無法訪問私人資料(從而將其報告給分析公司)。
但是,製作這種保護隱私的替換指令碼也是一項緩慢的手動任務。
 

SugarCoat 如何改變遊戲規則
研究人員開發 SugarCoat 正是為了透過自動生成保護隱私的替換指令碼來解決這一差距。該工具使用 PageGraph 跟蹤框架(史密斯是該框架開發的關鍵)來跟蹤整個瀏覽器引擎中損害隱私的指令碼的行為。  
SugarCoat 掃描這些資料以確定指令碼何時以及如何與暴露隱私敏感資料的 Web 平臺 API 進行通訊。然後,SugarCoat 重寫指令碼的原始碼以與偽造的“SugarCoated”API 對話,這些 API 看起來像 Web 平臺 API,但實際上並未公開任何私有資料。 
這項工作得到了 NSF 資助編號 CCF-1918573 和 CAREER CNS-2048262、Brave Software 的禮物和 NSF 研究生研究獎學金的支援。 
SugarCoat:以程式設計方式生成保護隱私、與 Web 相容的資源替換以用於內容阻止
 
SugarCoat 旨在整合到現有的以隱私為中心的瀏覽器(如 Brave、Firefox 和 Tor)以及瀏覽器擴充套件程式(如 uBlock Origin)中。SugarCoat 是開源的,目前正在整合到 Brave 瀏覽器中。
 

相關文章