加州大学圣地亚哥分校的计算机科学家团队和 Brave Software 开发了一种工具,可以在用户浏览网络时加强对用户隐私数据的保护。
研究人员在 2021 年 11 月 14 日至 19 日在韩国首尔举行的 ACM 计算机和通信安全会议 (CCS) 上描述了他们的工作。
SugarCoat 是一个实用的系统,旨在解决当今以隐私为中心的工具面临的双输困境:阻止损害隐私的脚本,但破坏依赖它们的网站;或保持网站正常运行,但放弃隐私。
SugarCoat 通过允许脚本运行来消除这种权衡,从而保持兼容性,同时防止脚本访问用户私有数据。SugarCoat 与现有的内容拦截工具(如广告拦截器)集成,使用户能够在不放弃隐私的情况下浏览网页。
大多数现有的内容阻止工具做出非常粗粒度的决定:它们要么完全阻止,要么完全允许脚本运行,这取决于脚本是否出现在危害隐私的脚本的公共列表中。然而,在实践中,一些脚本既会损害隐私,又是网站正常运行所必需的。
不过,有一个更好的方法:内容阻止工具可以用替代的隐私保护版本替换其源代码,而不是完全阻止脚本或允许它运行,用看起来相同的虚假版本替换原来脚本。
。这确保内容阻止工具不会破坏嵌入这些脚本的网页,并且脚本无法访问私人数据(从而将其报告给分析公司)。
但是,制作这种保护隐私的替换脚本也是一项缓慢的手动任务。
SugarCoat 如何改变游戏规则
研究人员开发 SugarCoat 正是为了通过自动生成保护隐私的替换脚本来解决这一差距。该工具使用 PageGraph 跟踪框架(史密斯是该框架开发的关键)来跟踪整个浏览器引擎中损害隐私的脚本的行为。
SugarCoat 扫描这些数据以确定脚本何时以及如何与暴露隐私敏感数据的 Web 平台 API 进行通信。然后,SugarCoat 重写脚本的源代码以与伪造的“SugarCoated”API 对话,这些 API 看起来像 Web 平台 API,但实际上并未公开任何私有数据。
这项工作得到了 NSF 资助编号 CCF-1918573 和 CAREER CNS-2048262、Brave Software 的礼物和 NSF 研究生研究奖学金的支持。
SugarCoat:以编程方式生成保护隐私、与 Web 兼容的资源替换以用于内容阻止
SugarCoat 旨在集成到现有的以隐私为中心的浏览器(如 Brave、Firefox 和 Tor)以及浏览器扩展程序(如 uBlock Origin)中。SugarCoat 是开源的,目前正在集成到 Brave 浏览器中。