オンラインの匿名性が決して絶対的ではないことを改めて示す形で、「Adbleed」と呼ばれる新しいブラウザフィンガープリンティング技術が、広告ブロッカーの設定を分析することでVPNユーザーの位置情報を暴露します。
Melvin.ovhの研究者がこの欠陥を明らかにし、国別フィルターリストが人気のプライバシーツールを追跡ビーコンに変えてしまう様子を示しました。
VPNがIPアドレスを隠し、トラフィックを暗号化していても、ブラウザの広告ブロック設定があなたの実際の位置情報を特定できます。
uBlock Origin、Brave、AdBlock Plusなどの広告ブロッカーは、フィルターリストに依存して不要な広告を排除します。中核となるEasyListには、英語広告とグローバルネットワーク向けに54,000以上のルールが含まれています。
しかし、熟練したユーザーは地域の広告主に特化した地域別リストを重ねて使用します。ドイツのユーザーはEasyList Germanyを有効にしてadnx.deのようなドメインをブロックし、フランスのユーザーはad6.fr向けにListe FRを有効化します。イタリア、スペイン、ブラジル、ロシア、中国、日本にも同様のリストが存在します。
これらのリストは、ブラウザの言語やロケール設定に基づいて自動的に有効化されることが多く、セットアップが簡単です。問題は何でしょうか?これらが攻撃者が調査できる独自の署名を作成してしまうことです。
Adbleedはリクエスト処理におけるタイミングの差を悪用します。広告ブロッカーがドメインをブロックすると、5ミリ秒以内に即座にリクエストを中止し、素早くエラーを発生させます。
ブロックされていないリクエストは、存在しないドメインへのものであっても、ネットワークにアクセスし、DNSルックアップとタイムアウトのため50〜500ミリ秒かかります。
この攻撃は、各国のフィルターリストに固有の30のドメイン(地域的にのみブロックされる無名の広告サーバーなど)をテストする軽量JavaScriptスニペットを使用します。
これをタイムゾーン、キーボードレイアウト、画面解像度、フォントなどの標準的なフィンガープリンティングと組み合わせると、攻撃者はあなたの身元を数百万人から数千人に絞り込むことができます。
「どのVPNサーバーを選択しても、AdBlockルールは一定のままです」とAdBlockレポートは指摘しています。
実世界のテストでは高い精度が確認されています:主要国では95%以上です。デモサイト(melvin.ovh/adbleed)では、誰でも自分の露出度を即座に確認できます。
ユーザーは難しい選択に直面します。検出を回避するために地域別リストを無効にすると、より多くの地域広告が通過することが予想されます。
開発者にとっては、よりスマートなルールが役立つ可能性があります:国別フィルターをグローバルではなく、一致するファーストパーティドメインにのみ適用する、などです。ブラウザがブロックタイミングをランダム化または難読化することもできるでしょう。
Adbleedは重要な真実を強調しています:プライバシーツールは予測不可能な方法で相互作用します。VPNはネットワークをマスクしますが、ブラウザの習慣が詳細を漏らします。
警戒を怠らないでください:拡張機能を監査し、ロケールを手動で調整し、amiunique.orgのようなサイトでフィンガープリントをテストしてください。
パッチが到着するまで、AdBlockの設定はデジタル指紋です。匿名性には総合的な防御が必要です。
翻訳元: https://cyberpress.org/adblock-filter-flaw/