“Psylo”浏览器试图通过为 very tab 提供自己的 IP 地址来隐藏数字指纹
快速阅读: 据《The Register》称,Psylo是一款新型隐私浏览器,隔离标签页并应用反指纹技术,保护用户免受广告追踪。其在App Store上线,强调隐私安全,每月收费9.99美元。
Psylo,这款自称是新型私人网络浏览器的应用,上周二在苹果App Store上首次亮相,比一份关于浏览器指纹识别技术被广泛用于广告追踪和定位的报告提前一天发布。这纯属巧合。Psylo为iOS和iPadOS设计,由总部位于加拿大的科技公司Mysk开发,该公司由软件开发人员和安全研究人员Talal Haj Bakry和Tommy Mysk运营。“Psylo之所以与众不同,是因为它是唯一一个真正隔离标签页的基于WebKit的iOS浏览器,”Tommy Mysk告诉《注册者》杂志。“不仅仅是分开存储和Cookie。Psylo超越了这一点。”这就是我们称标签页为“孤岛”的原因。每个孤岛都会应用独特的反指纹识别措施,例如画布随机化。这样,两个Psylo标签页打开同一个网站时,该网站会认为它们来自两台不同的设备。
“浏览器指纹识别”让开发者使用原生应用程序和网络浏览器中的API来收集网民的硬件和软件配置信息。这种技术可以收集用户屏幕分辨率、操作系统以及浏览器类型和版本等信息。分析这些信息的营销人员可以创建一个相对准确的用户描述——他们的“指纹”。这样做是有意义的,因为指纹比IP地址和写入Cookie的值等不太稳定的标识符更可靠。电子前沿基金会早在2010年就发布了一份名为《关于浏览器指纹识别风险的论文》[PDF],指出了与浏览器指纹识别相关的风险。从那时起,浏览器API开发者试图使指纹识别更加困难,而其他人则开发了简化在线指纹识别的工具库,名义上是为了打击欺诈等合法目的。
关于这一主题的最新研究来自德克萨斯A&M大学的研究人员。上周,计算机科学家Zengrui Liu、Jimmy Dani、Yinzhi Cao、Shujiang Wu和Nitesh Saxena发表了一份题为《浏览器指纹识别用于在线追踪的初步证据》的报告。电子前沿基金会早在2010年就发布了一份名为《关于浏览器指纹识别风险的论文》[PDF],指出了与浏览器指纹识别相关的风险。从那时起,浏览器API开发者试图使指纹识别更加困难,而其他人则开发了简化在线指纹识别的工具库,名义上是为了打击欺诈等合法目的。作者声称,以往的研究表明网站发布者使用指纹脚本,但没有确定这些脚本是否用于侵犯隐私的在线追踪,还是用于不那么有争议的原因,如机器人检测。研究人员认为,他们已经根据对在线广告拍卖中出价的分析建立了这种联系。该论文声称:“我们的大规模研究表明,通过出价价值差异和指纹更改后减少的HTTP记录,显示出浏览器指纹识别用于广告追踪和定位的有力证据。我们还表明,指纹识别可以绕过GDPR/CCPA的退出选项,从而实现侵犯隐私的追踪。”
为了进一步复杂化问题,一些相同的研究人员已经证明,浏览器指纹可以被复制和伪装。换句话说,攻击者可能能够模仿你的浏览器指纹,使其看起来像你访问了一个你从未浏览过的网站。
澳大利亚发现年龄检测技术存在许多缺陷,但仍将继续使用谷歌不受喜爱的修复网页权限计划正在获得支持。微软在欧洲为Windows Recall添加了导出选项。Mozilla担忧谷歌推动将人工智能构建到Chrome中。
进入Psylo,Bakry和Mysk在一篇博客文章中描述它是一种尝试使用软件开发工具包(SDK)或库来解决原生应用指纹识别问题的方法。他们指出,苹果公司已通过引入隐私措施,如iOS 14中的App Tracking Transparency、App Store隐私营养标签和隐私清单,以及限制使用API进行跟踪,使创建指纹变得更加困难。尽管如此,他们表示,广告技术公司已经开发出了应对方案。
正如Tommy Mysk所解释的那样,Psylo将浏览器标签页隔离成孤岛,并在其中应用反指纹识别机制。该浏览器制造商还依靠其自己的Mysk私有代理网络来隐藏每个孤岛的IP地址。“我们设计了系统,使得网络流量始终通过加密通道传输,”Mysk说。“任何截获Psylo流量的攻击者只能看到加密数据。Psylo使用加密的TLS通道进行通信,并屏蔽明文HTTP流量。我们无法读取用户发送和接收的数据。”
该公司声称,因此Psylo提供的隐私性优于VPN,因为虚拟网络隐藏了用户的IP地址,但通常不会改变用于指纹识别的数据。例如,Psylo会调整浏览器的时间区和语言以匹配每个代理的地理位置,从而增加更高的随机性,这意味着从孤岛收集数据生成的指纹看起来会不同。
Mysk开发人员的帖子提到,一些注重隐私的浏览器如Brave也实施了类似画布随机化的反指纹识别措施,但由于苹果iOS的限制,在桌面版macOS应用上更为有效。他们声称,通过使用客户端JavaScript解决方案,他们在iOS上取得了更好的成效。
Mysk设计Psylo以最小化其开发者可获取的信息。该公司声称,它不记录个人可识别信息或好奇者可用于识别用户的所有浏览数据,并指出它也不保存客户支付信息,这些信息由苹果处理。没有用户账户,只有随机ID来指示活跃的订阅。
根据Tommy Mysk的说法,唯一保留的订阅者数据是带宽使用情况,这是为了防止滥用所必需的。“我们根据在订阅时生成的随机ID统计带宽使用情况,”Mysk说。“这个随机生成的ID与苹果的订阅交易相关联。苹果不会与开发者分享购买App Store的用户身份。”
当被问及苹果是否可以识别用户时,Mysk表示:“理论上,在法院命令下,苹果可以找出特定用户的随机生成ID。如果我们提供与该随机生成ID相关的数据,那只会是该用户当前月份及前两个月的带宽使用情况。旧数据会自动删除。”
“我们根据在订阅时生成的随机ID统计带宽使用情况,”Mysk说。“这个随机生成的ID与苹果的订阅交易相关联。苹果不会与开发者分享购买App Store的用户身份。”
“我们不将任何可识别信息与随机生成的ID绑定。我们根本不存储所有系统组件中的IP地址。我们完全不存储用户访问的网站。”
Psylo适用于iOS和iPadOS。如果iOS/iPadOS版本表现良好,Mysk公司可能会创建Android版本。在美国,Psylo每月收费9.99美元或每年99美元。这就是隐私的代价。
(以上内容均由Ai生成)