广告身份纠缠：攻击者通过电子邮件地址在广告网络中进行身份冒充

2401→本作品采用知识共享署名国际4.0许可协议进行许可。Cart-ology：通过广告网络身份纠缠摘要吴昌硕佐治亚理工学院changseok@gatech.edu达蒙·麦考伊纽约大学mccoy@nyu.edu克里斯·卡尼奇伊利诺伊大学芝加哥ckanich@uic.edu保罗·皮尔斯佐治亚理工学院pearce@gatech.eduACM参考格式：定向广告是广告生态系统中的一种普遍做法，用户身份的复杂表示是定向的核心。广告网络被鼓励将跨设备的短暂Cookie与持久的持久标识符（如电子邮件地址）联系起来，以开发全面的跨设备用户配置文件。第三方广告网络通常与用户没有关系，必须依赖商家网站等外部方提供持久的身份信息，从而引入了复杂的信任关系。我们发现，攻击者可以利用这些信任关系来迷惑广告网络，使其将非特权攻击者的浏览器链接到受害者的身份，从而“冒充”受害者到广告网络。我们提出了广告身份纠缠，一个漏洞，以提取特定的用户浏览行为从广告网络remotely，只知道受害者的电子邮件地址，没有访问受害者，广告网络，或网站。跨设备跟踪中的这一新的基本缺陷允许攻击者将错误的身份信息传递给第三方广告网络，导致网络混淆攻击者和受害者。 一旦纠缠，攻击者就会在整个广告网络中接收到针对受害者的广告。我们发现身份纠缠是一个重要的用户隐私可侵犯性，攻击者可以了解详细的受害者浏览活动，如零售网站，产品，甚至特定的公寓或酒店的受害者进行了互动。该漏洞也是双向的，攻击者能够导致特定的广告显示给受害者，引入了尴尬攻击和勒索的可能性 我们已经披露了该漏洞;最大的第三方广告网络之一Criteo承认了该攻击。CCS概念• 安全和隐私Web应用程序安全;特定于域的安全和隐私体系结构。关键词网络隐私;定向广告;广告网络;追踪CCS©2022版权归所有者/作者所有。ACM ISBN978-1-4503-9450-5/22/11。https://doi.org/10.1145/3548606.3560641ChangSeok Oh，Chris Kanich，Damon McCoy，and Paul Pearce.2022年。 Cart-ology：通过广告网络身份纠缠拦截目标广告。 在2022年ACMSIGSAC计算机和通信安全会议（CCS '22）的会议记录中，2022年11月7日至11日，美国加利福尼亚州洛杉矶。ACM，纽约州纽约市，美国，14页。https://doi.org/10.1145/3548606的网站。 35606411引言有针对性的在线广告会泄露个人的敏感私人 广告网络投入大量资源来开发全面的用户活动概况，以便更有效地定位广告[1]。为了创建这些简档，广告网络利用持久的用户信息（例如，用户帐户或电子邮件地址）以将用户操作的各种设备链接在一起（例如，台式机、笔记本电脑和手机）[2，31]，然后通过利用嵌入到互联网上的网站中的第一和第三方跟踪器来聚合详细的浏览和购物行为[4]。定向广告的一种特别侵犯隐私的形式是重定向广告，其中一个人以前看过的特定产品包含在发送到他们设备的广告中[35，41]。根据设计，重新定位的广告可以跨设备跟踪方法通过将第三方短暂跟踪cookie链接到用户电子邮件地址）[10]。这些广告有时会错误地显示在经常共享网络连接的家庭成员和朋友的设备上[32]。这种 一些传闻中的隐私泄露的原因可能是第三方广告网络部署的跨设备跟踪方法中的错误。 这些隐私泄露的报告促使我们探索跨设备跟踪方法的安全性，试图了解这些方法的安全性如何，一个蓄意颠覆他们的对手谷歌的DoubleClick等广告网络本质上与用户建立了第一方关系，因为谷歌拥有Gmail或YouTube等面向用户的产品。直接用户关系使得这样的广告网络能够具有持久的和可验证的用户身份概念，其可以用于将用户的各种浏览器和设备（即，跨设备跟踪）。然而，第三方广告网络缺乏与用户的直接关系，这使得连接设备变得具有挑战性。一种与第一方广告网络竞争并基于全面的CCSChangSeok Oh，Chris Kanich，Damon McCoy和PaulPearce2402爱丽丝广告网络alice@example.comID Store1 2 3 4 5alice@example.com商家alice@example.com浏览商店alice@example.com产品X产品1产品1产品2图1：身份纠缠：（1）广告网络使用Alice的电子邮件地址将其浏览器、设备和产品视图链接（2）攻击者通过编辑对广告网络的请求或混淆商家网站，将其浏览器（3）攻击者收到Alice产品的广告用户配置文件用于第三方广告网络查找标识符信息和用户活动的来源，以链接到他们自己的跟踪cookie。这些要求可以通过商家网站来满足;这些网站确实与用户具有第一方关系，并且与第三方广告网络形成共生关系，其中广告网络学习持久的用户身份信息和广告活动（通过将跟踪器嵌入到商家网站中），并且商家然后能够通过在互联网上显示的广告更有效地将他们自己的产品重新定位给用户。这种级别的身份间接引入了联合信任的问题，其中第三方广告网络现在必须依赖外部方来验证和提供广告网络使用的持久身份信息，以执行跨设备跟踪并基于所有设备上的用户行为生成重定向广告。更糟糕的是，这些身份信息在没有完整性或真实性的情况下流经用户的Web浏览器，使其处于攻击者的控制之下。本文探讨了重定向广告、跨设备跟踪和身份识别交叉点的安全性。 我们发现了一个重要的新一类隐私漏洞，其中攻击者提取特定的受害者浏览行为，只知道受害者的电子邮件地址，而不知道受害者的行为，他们看到的广告，或访问他们的计算机或帐户。攻击者通过滥用商家网站和第三方广告网络之间的复杂关系，并将自己浏览器的跟踪cookie与广告网络的用户身份跨设备表示纠缠在一起来实现这一点。为了利用此身份纠缠漏洞，攻击者识别一个被称为“patsy”的商家网站，该网站预计将发送持久的身份信息（例如， 电子邮件地址）发送给第三方广告网络。第三方广告网络的生态系统和结构使得在Web浏览器内交换不完整的持久标识符变得司空见惯。我们表明，这些限制允许攻击者以两种方式之一将自己卷入广告网络对受害者的跨设备表示中。首先，攻击者可以重写发送到广告网络的HTTP请求，但由受害者网站发起，用受害者的电子邮件地址替换他们自己的电子邮件地址。第二，或者，攻击者可以欺骗一个没有电子邮件验证的网站（我们发现这很常见），向广告网络生成HTTP跟踪请求，广告网络将受害者的电子邮件地址嵌入攻击者的cookie。在这两种情况下，第三方广告网络都没有能力将新的攻击者设备与新用户区分开来设备.一旦纠缠，攻击者被认为是受害者的附加设备，并开始接收针对受害者的重定向广告 这是一种严重且有害的隐私侵犯行为，它以最小的假设将敏感信息泄露给任意攻击者。图1提供了攻击的概述在这项工作中，我们发现了身份纠缠的问题，并开发了一种攻击方法。然而，即使攻击者的跟踪cookie与广告网络的用户表示纠缠在一起，考虑到广告网络算法的复杂性，提取特定的因此，我们开发了一种测量技术，允许攻击者从背景广告中提取用户身份。然后，我们在两种情况下使用我们的测量技术探索问题的范围，发现两者都存在的问题。首先，我们研究了Criteo，最大的第三方广告重定向网络[15]，每天提供超过40亿条广告[18]，覆盖全球75%的购物者[ 20 ]，并且已被证明是重定向广告的最大来源。我们发现攻击者可以将他们的设备与Criteo的用户跨设备表示纠缠在一起，提取详细的用户活动，例如查看的零售商品以及用户搜索的公寓或酒店。其次，我们探索雅虎广告的分析和广告网络，每天达到数千万用户[ 45 ]。我们发现，攻击者同样可以在雅虎的分析界面中重写电子邮件地址 我们已经负责任地披露了漏洞，Criteo也承认了攻击。具体而言，我们的贡献包括：开发并描述一种新型漏洞，攻击者在此漏洞中接收针对特定用户的重定向广告，而仅知道用户的持久标识符（如电子邮件地址）。攻击者不需要访问用户演示攻击者如何从Criteo（最大的第三方广告网络之一）提取受害者浏览信息 我们还展示了攻击者如何利用YahooAnalytics界面导致Criteo泄露潜在的敏感信息。综合起来，我们发现这些网络覆盖了所有包含跟踪器的网站的35%。开发一种攻击方法来确定纠缠是否成功，然后（在没有用户行为或广告的先验知识的情况下）从广告网络提取关于用户的私人信息，包括：1）他们访问了哪些在线商家，2）他们与哪些特定项目交互，以及3）在某些情况下，用户的位置和旅行计划（例如，查看公寓和酒店）。证明纠缠是双向的，允许攻击者影响向受害者显示哪些重定向广告。这种双向性允许勒索和尴尬。讨论近期和长期缓解措施，以及随着广告和浏览器生态系统的变化，问题可能如何演变。广告网络目前无法确认商家提供的持久身份是正确的[16]。更糟糕的是，大部分跟踪发生在用户的浏览器内部（没有完整性），在攻击者的控制下。因此，我们认为这种灵活性是根本性的，需要在技术上对第三方广告网络如何执行跨设备跟踪进行重大改变，并更好地协调广告网络的激励措施以保护隐私。·····Cart-ology：通过广告网络身份纠缠拦截定向广告CCS24032背景大多数在线广告都是有针对性的[5]，以提高营销投资回报率（ROI）[27]。有针对性的广告是营销人员基于用户的特定特征（例如，人口统计学特征）向用户呈现定制广告的一种方式性别、年龄）、位置、兴趣、浏览器历史和购物行为。 我们现在提供有关技术的背景知识，这些技术可以跟踪用户并收集用于广告定位的信息。2.1跟踪cookie第三方跟踪是指用户访问的网站以外的实体跟踪该网站上的活动的过程[37]。例如，如果用户访问诸如macys.com的商家，则由Macy's放 置 在 网 页 上 的 诸 如 www.example.com 的 第 三 方 跟 踪 器facebook.com可以跟踪用户的Macy's活动。 这种跟踪最终旨在将用户在www.example.com上macys.com的活动与他们在嵌入跟踪器的所有网站上的活动联系起来[37]。有许多形式的客户端状态可以进行跟踪，其中最普遍和最知名的是Cookie。从概念上讲，Cookie是一种短暂的标识符，表示为（域，键，值）的元组，存储在浏览器中，每当用户访问该域时都可以读取和写入。由用户访问的特定域设置的Cookie（例如，macys.com）是第一方cookie，以及由不同域或嵌入该页面中的脚本设置的cookie（例如， facebook.com）是第三方cookies[37]。便于第三方跟踪的Cookie通过用户访问的网站上运行的JavaScript或通过 HTTP 头（ “ 设置Cookie” ）发送 [ 37 ] 。一旦设置了cookie，它将通过头文件或通过JavaScript API以编程方式自动发送HTTP响应 Cookie的使用由同源策略管理，该策略确保Cookie不能在不相关的域之间共享[37]。用户最终可以通过浏览器中的高级设置来控制是否存储和/或发送Cookie，但禁用Cookie并不常见，并且会导致Web无法使用[37]。Mozilla的Firefox是第一个在2019年默认阻止第三方Cookie的主要浏览器，Apple的Safari也在2020年开始阻止它们，Google表示Chrome将在2023年阻止第三方Cookie [ 8，13，43 ]。然而，阻止第三方cookie并不能阻止基于浏览器指纹的跟踪[24，34]，也不能阻止访问的网站向跟踪公司提供有关用户的信息。跟踪Cookie也仅限于单个应用程序或浏览器，当用户使用多个应用程序，浏览器或设备时，它会提供不完整的视图。我们所研究的广告网络使用的跟踪cookie标识符是随机的类似于UUID的不透明值。 它们不包含持久的标识符信息，如电子邮件地址。 Cookie标识符和受害者身份之间的所有连接都由受害者或攻击者范围之外的广告网络维护。2.2跨设备追踪在线广告和分析公司已经开发了几种方法来跟踪跨设备的用户与用户有直接登录关系的广告网络（如Facebook或Google）利用用户从其所有设备登录其帐户来启用跨设备跟踪。 用户登录其帐户后，其跟踪Cookie将跨设备同步，或者设备跟踪Cookie将链接到广告网络的后端数据库中，用户活动的更完整简档可用于广告定向[10，47]。从概念上讲，这可以被认为是一个由许多短暂的跟踪cookie组成的图形，这些cookie都通过一个持久的身份链接在一起。这种短暂身份的组合构成了广告网络的用户“简档”。 在我们的身份纠缠攻击的上下文中，我们在概念上将一个新的错误边插入到这个图中。第三方跟踪公司与消费者没有直接的登录关系，但与与用户有登录关系的商家有关系。 这些商家可以在登录第三方跟踪公司时提供电子邮件地址或这些标识符的散列版本等识别信息。如果相同的电子邮件地址或散列从不同的设备传输到相同的第三方，则公司可以将字符串匹配在一起，并同步用户设备上的跟踪Cookie，或者在其后端数据库中链接两个跟踪Cookie，以启用跨设备跟踪。但是，在这种情况下，第三方跟踪公司必须信任商家：1）已经验证用户实际控制了电子邮件地址，2）没有恶意。我们将展示大多数商家不会验证用户是否控制电子邮件地址，这使得攻击者能够将其设备插入另一个用户这可能会导致信息从定向广告中泄露2.3重定向广告重定向广告是一种广告技术，通常包括一个人以前参与的产品。重定向广告通常基于个人身份信息（PII）（即，电子邮件、电话号码）。重定向广告的信息通常由商家提供给广告网络，并且基于搜索、查看或将产品添加到购物车。这种高度个性化的广告旨在提醒客户重新访问他们的购物网站并购买他们之前表示感兴趣并包含在广告中的产品重定向广告已经引起了最终用户的一些隐私问题首先，准确反映消费者兴趣的广告包含他们先前查看过的产品）明确地指示用户的购物活动正被跟踪并被其次，重定向广告通常包含隐私敏感信息，因此广告网络可能无意中成为对手的隐私泄露渠道有趣的是，有一些关于购买的信息的故事，例如当某人登录到家庭成员的设备或通过跨设备链接技术中的其他错误时，礼物泄漏到同一家庭中的另一个用户然而，据我们所知，还没有对跨设备跟踪技术进行分析，以了解攻击者是否可以故意将其设备与另一个用户的身份相混淆，从而从重定向广告中了解潜在的敏感隐私信息。2.4Criteo的中心地位我们的大部分实验集中在Criteo上，Criteo是最大的第三方跟踪公司[15，26]。根据whotracks.me，Criteo存在于所有包含跟踪器的网站中的31%。下一个最大的第三方广告网络是雅虎，我们也在探讨。然而，我们发现雅虎仅略微增加了4%的网站覆盖率。另一家行业跟踪数据来源Sim-ilarTech也表示，CCSChangSeok Oh，Chris Kanich，Damon McCoy和PaulPearce2404Criteo是该领域的主导者[39]，其他实体是Facebook或非广告网络身份提供商。 他们指出，Criteo的覆盖范围是下一个第三方广告网络（雅虎）的27倍[ 39 ]。Criteo Criteo在这个领域的流行，加上他们与网络用户的第三方关系，表明他们在这个生态系统中的中心地位以及他们平台上身份纠缠的严重性。3威胁模型与道德我们对受害者、广告商、广告网络和商家网站做出最小的假设。我们假设商家与我们研究的第三方广告网络共享信息，用于定向和重定向广告的目的，受害者使用启用了JavaScript和cookie的商家网站，攻击者知道关于用户的一些信息（例如，电子邮件地址）。我们假设受害者：1）访问启用了JavaScript和Cookie的商家网站。（2）不屏蔽广告。3）具有带有持久标识符的帐户（例如，电子邮件地址）。我们假设攻击者：1）知道持久标识符（例如，电子邮件地址），该用户用于至少一个商家网站账户。2）能够识别发送用户身份信息的第三方广告网络中的一个商家。我们称这样的网站为我们注意到，这种行为是常见的[14，22，26]，受害者不需要曾经访问过或与该网站互动3）我们不认为攻击者可以访问受害者的计算机，任何受害者的帐户，或以任何方式与受害者在互联网上共处一处。 我们也不假设攻击者对受害者的活动、行为或他们看到的广告有任何了解。我们假设受害者访问的商家网站：1）使用我们研究的第三方广告网络2）将用户活动和身份信息传递给广告网络。我们注意到这种行为是常见的[14，22]。3）通过用户的浏览器将用户身份信息发送到广告网络，没有完整性或真实性（Criteo和Yahoo的API都是如此），或者网站本身在创建帐户时没有正确验证电子邮件地址（我们发现我们检查的84%的商家网站都是我们假设第三方广告网络：1）构建跨设备的用户活动的综合配置文件。这一假设是合理的，并有充分的证据证明[17]。2）从网站上收集关于用户活动的身份信息这一假设是合理的，并有充分的证据证明[19]。（3）与用户没有直接关系例如，在一个实施例中，用户不具有广告网络的帐户上述假设反映了商家网站、重定向和第三方广告网络的现状Criteo和雅虎的广告网络都符合这些假设，我们探索的商业网站也是如此。这些假设中隐含着第三方Cookie的存在。 虽然有关于在未来消除此类Cookie的讨论[8]，但在第7节中，我们讨论了如果广告网络和商家网站勾结，则此类Cookie并非绝对必要。信任模型第三方跟踪依赖于通过组合和积累用户行为数据而创建的综合配置文件。在不同的设备、网站以及Cookie过期或删除需要通过持久标识符进行链接，即不像会话ID那样频繁更改。 由于用户仅与几个甚至一个参与的商家站点保持第一方关系，因此广告网络必须信任商家站点将该信息传达给他们，并且不能独立地验证该信息。此外，由于在线广告生态系统的竞争性质，广告网络没有动力对这种持久的身份链接执行严格的质量控制或完整性检查，并且我们观察到的网络直接从加载库的网站上的浏览器接受身份报告。粗略地说，有两个核心问题使这种vulner能力：1）广告网络无法验证商家给他们的电子邮件地址是否正确。2）通常，一个人的电子邮件地址是公共信息。伦理我们专门使用我们创建的合成用户和攻击者配置文件。我们从未攻击或试图攻击任何真正的用户。 我们负责任地披露了漏洞，Criteo已经承认了这个问题。4身份纠结我们现在介绍身份纠缠，一个新的漏洞，损害用户当攻击者欺骗广告网络将攻击者的跟踪cookie链接到选定的受害者的持久身份时，就会发生身份纠缠，从而允许攻击者的浏览器接收广告，就好像它是受害者一样。纠缠是双向的，允许攻击者也影响显示给受害者的广告。图2显示了该问题的概述攻击分三个阶段进行，我们在这里简要描述，下面更详细地描述首先，受害者必须使用他们的持久身份来验证参与广告网络的任何商家网站，从而使他们的设备的跟踪cookie链接到他们的其次，攻击者必须执行身份纠缠，将自己的跟踪cookie与受害者的持久身份相攻击者可以利用通过攻击者的浏览器从商家发送到广告网络的信息缺乏完整性来重写HTTP请求，用受害者的电子邮件广告替换他们自己的电子邮件广告，或者利用商家缺乏身份验证来欺骗商家直接发送受害者的电子邮件。最后，一旦cookie被纠缠，攻击者就会定期轮询显示广告网络广告的网站，以推断受害者访问的产品和商家。同样，攻击者可以在受害者的浏览体验中植入广告4.1被害人行为在我们的身份纠缠攻击中，受害者通过至少一个与易受攻击的广告网络执行cookie同步的网站进行身份验证在这种情况下，同步是基于受害者的电子邮件地址作为持久标识符。 当商家网站调用各种第三方广告网络的库函数时，发送一个事件，表明此跟踪Cookie具有特定的电子邮件地址，并与特定的产品进行了 我们注意到，此事件是通过用户的Web浏览器发送的，没有完整性或真实性，并且受到攻击者的操纵。图2的步骤1-10概述了这个过程，并显示了受害者与商家网站的交互Cart-ology：通过广告网络身份纠缠拦截定向广告CCS2405爱丽丝广告商广告网络出版商Patsy网站攻击者1.一、的首次访问2. 返回页面设置Cookie ID3. 向广告网络发出的Web请求4. 返回JS设置广告网络的Cookie ID网络tsyCookie IDCookie IDCookie IDalice@example.comCookie IDCookie ID24. 为Alice提供重定向或通用广告22. 将具有Cookie ID的中标EST广告的广告脚本返回给广告网络18. 返回页面设置广告发布者的Cookie ID19. 请求广告横幅17. Web请求20. 招标公告21. 招标23. Requ16. 设置广告网络中第三方的Cookie ID同步15. Cookiern JS14. 热土通过Web API连接网络l地址和Cookie ID到广告13. 发送Alice十一岁的首次访问设置页面的Cookie ID12. 返回Alice10. 设置广告网络中第三方的Cookie ID8.返回JS9. 小文件同步6. 使用JS返回页面7. 发送Alice要广告的产品ID和Cookie ID5. 登录查看产品图2：受害者、商家、广告网络和攻击者之间的逐步交互第13步（红色）是关键步骤，易损性. 在步骤1-这种交互可以跨多个设备发生。作为这种交互的结果，广告网络创建用户的临时ID（Cookie ID）的简档在步骤11-16中的某个时候，攻击者与（可能）无关的patsy网站进行交互，并在HTTP请求中编辑电子邮件地址（将攻击者自己的电子邮件地址替换为受害者），或者通过提供受害者的电子邮件地址来在步骤17调用API后，广告网络可以将广告网络中任何网站上的所有用户活动绑定在一起，因为广告网络已成功将用户的持久标识符此Cookie会发送到广告网络，以便在使用广告网络的所有网站上进行访问，从而使受害者的所有活动都容易受到攻击，而不仅仅是他们通过身份验证的单个网站。在这一点上，受害者继续他们的正常浏览活动，可能会或可能不会与本网站或任何其他网站上的特定产品进行交互。使用广告网络进行重定向广告的网站将使用API来报告正在查看和/或添加到购物篮中的产品。4.2这次袭击攻击者采取的第一步是将其浏览器的跟踪cookie与广告网络内受害者的持久标识符纠缠在一起。纠缠是通过与一个替罪羊网站的互动完成的。假冒网站是广告网络中的任何商家网站，它利用广告网络的跟踪API将用户的电子邮件地址（或类似地址）作为登录的一部分发送给广告网络。 这种做法是常见的[14，22]，并由广告网络[3，16，46]记录。 作为登录过程的一部分，商家生成要发送到广告网络的HTTP请求，该请求源自用户的web浏览器，其中包含跟踪信息。电子邮件地址可能是散列的，但缺乏盐，因此是确定性的。这些信息通过攻击者的Web浏览器发送，没有完整性或真实性，允许攻击者操纵它。图2的步骤11-纠缠以两种方式之一执行1）攻击者拦截通过访问包含攻击者自己的电子邮件地址的商家网站生成的HTTP请求（步骤13），并将电子邮件地址重写为受害者的地址。或者2）攻击者可以找到一个在创建帐户时不验证用户身份的假冒网站。例如，攻击者进入一个网站，输入受害者的电子邮件地址，帐户，并且该帐户是在没有验证攻击者控制电子邮件地址的情况下创建的。我们的结果（6.8节）显示，令人惊讶的是，不仅是微不足道的找到这样的网站，但大多数零售网站表现出这种行为。我们制定了这种缺乏验证方法的情况，因为即使在电子邮件字段上部署了某种形式的完整性（这将意味着与当前实践的重大偏离，可能涉及大规模的关键人员），该漏洞仍然存在，因为广告网络仍然无法验证商家发送给他们的地址是否正确。我们强调，受害者不需要事先与受害者网站有任何关系，也不需要在攻击期间与受害者接触或访问受害替罪羊的作用只是为攻击者的个人资料提供进入广告网络的入口点。4.2.1纠缠案例研究我们现在探索Criteo和Yahoo广告网络API中纠缠的细节，如图2中的步骤13所示。在这两种情况下，商家网站直接将身份信息传递给广告网络，未经认证，没有完整性控制。当商家网站在Web浏览器中传递此信息，它处于攻击者的控制之下。https://sslwidget.criteo.com/event? a=18015 v=5.6.2 p0=e%3Dce%26m%3D%255Bvictim%252540email.com %255D p1=e%3Dexd%26site_type%3Dd p2=e%3Dvh p3=e%3Ddis adce=1 tld=[Merchant] dtycbr=75575图3：从商家网站向Criteo发送的HTTP API请求商家传达用户电子邮件地址）到Criteo。我们没有发现对该请求进行任何完整性检查。图3显示了商家网站和Criteo广告网络之间的示例API调用（商家和电子邮件地址已编辑），通过用户的浏览器进行中继关键字段（以蓝色粗体突出显示）是用户其他字段包括样板参数、广告网络中的商家当这个请求在浏览器中发送时，用户攻击者能够直接操纵此电子邮件字段，将受害者的电子邮件地址写入查询中，然后将其CCSChangSeok Oh，Chris Kanich，Damon McCoy和PaulPearce2406https://sp.analytics.yahoo.com/sp.pl? a=1000210819854& d=[当前日期]& n=4d& b=[产品]&.yp=427149& he= 89 bead 80173 b 00 cdf78015157 df 376 ad 8b 569 ecf 2d 5979 ed 48213 fd 723 a7 f916&f=[商家]& enc=UTF-8& yv=1. 12.0 et=custom ea= View产品product_id=12489441 tagmgr=gtm广告网络连同攻击者的cookie，造成受害者的身份和攻击者的cookie之间的纠缠。我们没有发现对请求进行任何完整性检查。图4：从商家网站到Yahoo的 HTTP API请求商家传达用户的身份（例如，电子邮件地址）到雅虎。用户的电子邮件地址是SHA-256散列，我们没有发现对该请求进行任何完整性检查。图4显示了商家网站和Yahoo广告网络之间的示例API调用（商家和产品被编辑），通过用户的浏览器进行中继。和以前一样，用户与以前不同，用户的电子邮件地址是SHA-256哈希的，没有盐。同样，攻击者能够操纵此字段，使受害者的身份与攻击者的cookie纠缠在一起我们没有发现对请求进行任何完整性检查4.3隐私漏洞在攻击者成功地将他们的短暂跟踪cookie与受害者的持久标识符纠缠在一起之后 如图1所示。攻击者和受害者浏览器都将从广告网络接收个性化广告，就好像这两个设备属于同一个用户。类似地，任一用户的任何后续活动将有助于广告网络配置文件的未来变化攻击者现在可以1）观察针对受害者的广告，和/或2）使广告显示给受害者。使广告显示给受害者是简单的;攻击者访问并与特定项目交互，然后将触发项目重定向到与配置文件相关联的所有设备，包括受害者的浏览器。从显示给攻击者的广告流中推断特定的受害者活动是具有挑战性的;广告出现的原因有很多，并且受害者与商家或产品交互产生的广告必须与所有其他广告区分开来。推断受害者行为需要广泛的方法发展，并在第5节中详细讨论。4.4攻击范围身份纠缠旨在损害特定个人的隐私，只知道他们的电子邮件地址或其他标识符。将攻击扩展到大量用户的主要挑战同时落在两个方面：资源和对广告生态系统的影响资源 试图从大量用户中大规模提取隐私详细信息的攻击者需要为每个受害者创建、管理和/或隐藏浏览器配置文件。同样，随着攻击者扩大攻击规模，他们可能会遇到旨在防止大规模抓取和广告滥用的自动广告网络攻击者可能能够在受害者之间重复使用基线配置文件，但基线重复使用的具体细节尚不清楚，因为这种行为可能会影响广告本身的分发，从而导致下一个挑战。广告生态系统的影响。广告网络依靠预算和广告活动来运营。试图大规模提取私人信息的攻击者可能会通过测量广告的过程耗尽广告预算，并改变他们试图观察的广告的分布 在小范围内，这些影响可能可以忽略不计，但随着攻击规模的扩大，测量错误和行为变化的风险也会增加。我们相信这两个挑战是可以克服的进一步研究.然而，出于这项工作的目的，我们仅限于对特定个人进行有针对性的攻击。5浏览行为推理一旦攻击者将其浏览器的短暂跟踪cookie与广告网络的受害者配置文件纠缠在一起，他们就必须开发一种方法来从显示给他们的广告中提取用户浏览活动。从概念上讲，这个问题可以分解为三个步骤：1）执行身份纠缠攻击，2）收集提供给攻击者的纠缠简档的广告，以及3）确定这些广告的哪个子集已经从链接到相同持久身份的第4节概述了身份纠缠攻击。在本节的其余部分中，我们将概述攻击者如何从纠缠后提供给攻击者的广告完成上述步骤3的核心是我们称之为标准化差异的度量，该度量将未纠缠配置文件的基线广告分布与提供给与受害者配置文件纠缠的攻击者配置文件的广告进行比较。在这种情况下，受害者配置文件执行了导致重定向广告的行为-在各种商家网站上向购物车添加商品。5.1测量网站（出版商页面）一旦攻击者的个人资料被纠缠，攻击者就 为此，攻击者在发布者页面（即，显示广告的网页我们表示攻击者使用的特定发布者页面作为测量网站。一个合适的测量网站必须：1）显示来自攻击者希望纠缠的广告网络的显示广告（包括重定向广告），2）本身不是一个商家网站，否则测量行为可能会影响受害者配置文件中显示的广告的组成，3）显示广告而无需创建帐户。许多新闻网站都符合这些要求，包括yahoo.com，我们将其用作我们的测量网站。5.2浏览器配置文件设置和基线广告活动和算法不断变化。为此，我们引入了攻击者创建“基线”的概念.捕获不反映受害者行为的一般广告活动的配置文件攻击者通过测量网站同时记录攻击者和基线配置文件的广告活动。攻击者创建各种浏览器配置文件：基线和攻击。此外，我们创建一个模拟的受害者配置文件为我们的实验。 对于所有实验，每个配置文件都是在不同机器上的攻击者、受害者和基线配置文件之间分离创建的，并且来自不同的IP地址，所有这些都是从新的浏览器配置文件开始的。Cart-ology：通过广告网络身份纠缠拦截定向广告CCS2407M攻击配置文件。攻击者创建一个攻击配置文件，然后通过在patsy网站注册一个帐户，然后编辑HTTP请求，将自己的电子邮件地址替换为受害者的电子邮件地址，或者如果商家不验证电子邮件地址，则使用受害者的电子邮件地址来执行身份纠缠攻击。在攻击者登录到patsy网站后，他们会访问登录页面，以确保将电子邮件地址报告给目标广告网络。基线配置文件。攻击者还创建了两个基线配置文件，并通过访问patsy网站，为目标广告网络的跟踪cookie进行了准备。（我们假设以这种方式使用patsy网站排除了识别与patsy网站相关的受害者活动，在第7.2节中进一步讨论。攻击者创建了两个配置文件，用于理解一般广告的分发，这对于识别纠缠是否成功特别有帮助（见6.1节）。此外，为了控制由于在patsy网站上创建帐户而发生的广告自定义，攻击者还创建了两个帐户基线配置文件，这些帐户基线配置文件使用攻击者控制的电子邮件地址创建帐户，但它们不执行身份纠缠。受害者档案。理解攻击有效性的必要前提是攻击者能够推断受害者的行为。从道德上讲，我们不能对真正的用户进行这种攻击。从道德上讲，我们也不能对自己进行这种攻击，因为身份纠缠攻击可能会向对方透露研究人员的详细个人信息。因此，我们通过几种机制模拟受害者的个人资料首先，我们通过在大型网络邮件提供商处注册一个免费电子邮件帐户来创建“基本”配置文件，然后使用该帐户在目标商家网站上创建帐户。然后，我们通过将随机选择的产品添加到购物车来为每个配置文件做准备。配置文件位置。攻击者控制的配置文件（即，攻击和基线）应该在地理上彼此靠近这对于确保攻击者的基线配置文件和攻击配置文件将接收大致相同的广告集是5.3归一化差异在攻击者收集了所有配置文件中测量网页上观察到的广告分布之后，他们需要一种机制来从受害者的实际商家活动中提取不相关的广告活动和广告定位。为了实现这一目标，我们引入了归一化差异的概念。 Normalized Difference试图了解广告商（或广告）在基线配置文件中的分布，然后从纠缠的攻击者配置文件的广告分布中减去这些事件。 公式1定义了我们用于归一化差异的公式（每个广告商，或每个特定项目，取决于上下文）。5.4实验实施为了理解身份纠缠的有效性，我们创建了前面描述的攻击者和受害者配置文件集。 一旦我们创建了这个浏览器配置文件的集合，我们就可以使用它们通过查看显示的广告从受害者的广告配置文件中提取信息。在执行纠缠攻击并识别测量网站之后，攻击者在所有配置文件（除了受害者配置文件之外）上以规则的间隔重复加载测量网站并记录所有广告。 对于每个配置文件中的每次访问，我们都会记录与所有广告相关的时间戳和完整的HTTP请求和响应。 商家和物品标识符信息嵌入在记录的HTTP请求参数中。我们利用Puppeteer浏览器自动化库加载测量网站并记录所有必要的页面信息，在6个浏览器配置文件中执行这些测量该系统是建立在木偶10.4.0执行谷歌Chrome 94.0.4606.54的顶部，并在不同的物理系统上同时运行。我们每30秒重新加载一次测量网站。广告投放总量因配置文件而异;为了解决这种不平衡，我们将所有分布比较，而不是给出原始计数。虽然我们使用合成购物行为与使用纠缠的攻击者配置文件和分析的测量分开地进行受害者配置文件的启动，但是攻击者可以通过持续调查由配置文件接收的广告分发来潜在地实时执行这样的分析。5.5实施细节对于我们的实验和抓取，我们使用了来自不同IP地址的四个不同系统，攻击者和受害者配置文件在不同网络中（尽管在同一个美国城市）分开，以限制非纠缠指纹影响我们结果的可能性。受害者设备是苹果MacBook Pro笔记本电脑，配备英特尔酷睿i7- 4960HQ和16 GB RAM。攻击者设备是一台运行Ubuntu 20.04的AMDOpteron处理器6328服务器，内存为126GB。 基线配置文件分别在两台不同的机器上运行，一台是运行Ubuntu 18.04的IntelXeon Gold 6140服务器，内存为126 GB，另一台是运行Fedora34的Intel Core 286 i7- 8565 U台式机，内存为16 GB。 所有配置文件和测试都在“裸金属”上运行，不使用虚拟化或云服务。对于每个实验，我们都创建并使用了一个全新的浏览器配置文件。模拟的受害者和攻击者机器使用的IP地址位于同一个美国城市，但在不同的网络上。为了识别使用Criteo进行纠缠实验的商家，我们使用非受害者机器爬取了Alexa前10，000名，在浏览器开发工具日志中寻找Criteo重定向API的使用情况。从这一组中，我们选择了归一化差值=（ −，0）���������A：=攻击者（一）随机抽取商户进行活动识别实验。我们注意到，这种方法会对使用Criteo的可能商家产生一个下限，因为商家可能不会在所有时间、所有页面上使用Criteo，或者可能会使用简单爬行无法避免的伪装。这样的限制产生了一个下限，是可以接受的，为识别-标准化差异假设从出现在攻击者配置文件中的广告活动中导出的背景广告噪声也将出现在不相关的基线配置文件中。一套商人的探索，但没有准确地传达Criteo的全部范围为了更好地理解Criteowhotracks.me的范围，我们依赖于www.example.com，前面已经讨论过，并在第6.8节中进一步讨论。CCSChangSeok Oh，Chris Kanich，Damon McCoy和PaulPearce2408···6结果为了证明身份纠缠攻击的可行性我们进行了一系列攻击者事先不知道受害者的行为或广告）实验利用攻击（第4节）和行为提取技术（第5节）。我们能够通过易受攻击的第三方广告网络放置的重定向广告提取受害者个人资料的浏览行为，除了他们的电子邮件地址之外，没有关于受害者的信息。 为了