你一天查看幾遍電子郵件?我們知道, 網路追蹤者在我們上網衝浪的時候窺探我們, 但這一情況對電子郵件跟蹤同樣適用。
普林斯頓大學3名研究人員為 PETS 2018 (隱私強化技術論文集)撰寫的研究文章《我從沒註冊過這個!電子郵件跟蹤的隱私影響》, 闡述的就是此一問題。
研究人員將電子郵件跟蹤描述為“非常普遍”, 因為85%都包含有嵌入的協力廠商內容。
僅僅打開郵件, 就可使這些協力廠商追蹤你的網上生活, 將你的網上活動與你的電子郵寄地址相關聯, 而不僅僅是關聯到一個匿名的cookie。
追蹤者可將電子郵寄地址關聯到流覽歷史和資料, 引發進一步的隱私洩露, 比如跨設備跟蹤和線上及線下活動的關聯。
研究人員開發的OpenWPM網路爬蟲訪問了1.57萬個提供商業電郵列表訂閱表單的網站, 成功從902個寄件者註冊了12,618個郵寄清單。 他們發現了一個由數百協力廠商組成的網路, 這些協力廠商通過嵌入圖像之類的方法追蹤電子郵件收件人。 約有30%的郵件, 在被打開時將收件人郵寄地址洩露給一家或多家協力廠商。 大多數案例中,
那麼, 有多少洩露是故意的呢?文章中稱, “暴露給協力廠商的100,963起洩露中, 62%是故意的。 ”如果被泄電郵位址按很多Web郵件用戶端常用做法與跟蹤cookie相關聯, 那麼隱私風險會更加嚴重。
電子郵件跟蹤例子
以交易網站LivingSocial的郵件為例, 研究人員發現:
被泄郵寄地址最常見收件人
接收被泄郵寄地址的5大公司LiveIntent、Acxiom、Litmus Softwar、Conversant Media 和Neustar。
如果使用者確實點擊了郵件中的連結, 那麼該使用者電子郵寄地址可能被洩露給協力廠商。 研究人員發現, 10大洩露收件人公司是:穀歌、Facebook、推特、Adobe、微軟、Pinterest、LiveIntent、阿卡邁、Acxiom和AppNexus。
電子郵件用戶端的隱私影響功能
研究人員製作了一款電子郵件隱私測試器, 確定16個郵件用戶端的隱私影響功能。
Gmail通過Web、安卓和iOS應用訪問, 封鎖代理內容, 如果被認為是垃圾郵件, 只在Web上封鎖圖像, 3種訪問管道都封鎖引用連結和cookie, 但僅Web版本提供擴展支援。
Outlook Web App、outlook.com和 Outlook 2016 桌上出版, 不封鎖代理內容。 雖然App和 Outlook 2016 都封鎖圖像, 但Outlook.com僅在被標為垃圾郵件時封鎖圖像。 與App和Outlook.com不同, Outlook 2016 不封鎖引用連結。 所有這3種用戶端都封鎖cookie, 而僅 Outlook 2016 不提供擴展支援。
Windows郵件用戶端桌上出版僅僅封鎖引用連結。
蘋果郵件用戶端iOS和桌上出版都不封鎖代理內容或圖像——除非被認為是垃圾郵件, 但二者都封鎖引用連結和cookie, 只是都不提供擴展支援。
不封鎖代理內容, 但封鎖圖像和引用連結, 如果預設設置從“否”修改為“是”的話, cookie也是可以封鎖的, 而且提供擴展支援。
防禦電子郵件跟蹤
研究人員提供了5種可能的電子郵件跟蹤防禦方法, 包括:內容代理、HTML過濾、cookie封鎖、引用連結封鎖、請求封鎖。
使用封鎖圖像的電子郵件用戶端, 可削減隱私風險, 但同時也會造成試圖展示圖片的郵件無法閱覽。
除了使用預設封鎖圖像的郵件用戶端, uBlock Origin、Privacy Badger 或Ghostery之類的流覽器擴展,也有助於封鎖跟蹤請求。這些擴展可將跟蹤削減一半,但無法杜絕。
我們發現,跟蹤防護列表EasyList和EasyPrivacy,可將郵件流覽中發生的郵箱洩露數量減少87%。或許,重視隱私的用戶可用的最佳選擇,是採用Web郵件並安裝跟蹤防護工具,比如 uBlock Origin 或Ghostery。使用獨立用戶端的用戶必須找尋支持隱私擴展的那些。我們研究的用戶端中,唯一一款支持此類擴展的,是Thunderbird。流覽器中安裝跟蹤防護工具,也能提供郵件連結被點擊時的防護。
uBlock Origin、Privacy Badger 或Ghostery之類的流覽器擴展,也有助於封鎖跟蹤請求。這些擴展可將跟蹤削減一半,但無法杜絕。我們發現,跟蹤防護列表EasyList和EasyPrivacy,可將郵件流覽中發生的郵箱洩露數量減少87%。或許,重視隱私的用戶可用的最佳選擇,是採用Web郵件並安裝跟蹤防護工具,比如 uBlock Origin 或Ghostery。使用獨立用戶端的用戶必須找尋支持隱私擴展的那些。我們研究的用戶端中,唯一一款支持此類擴展的,是Thunderbird。流覽器中安裝跟蹤防護工具,也能提供郵件連結被點擊時的防護。