Rischi per la privacy nell'iniziativa Privacy Sandbox di Google
Esaminare le minacce alla privacy rappresentate dai meccanismi di reporting degli annunci del Privacy Sandbox.
― 7 leggere min
Indice
- La Storia dei Cookie e delle Preoccupazioni per la Privacy
- L'Iniziativa Privacy Sandbox
- Come Funziona il Sistema
- Analizzando i Rischi per la Privacy
- Scenari di Attacco
- Mitigare i Rischi di Collegamento
- Limitare l'Esecuzione del Codice
- Migliorare i Meccanismi di Reportistica
- Conclusione
- Fonte originale
- Link di riferimento
Nel mondo digitale, i Cookie di terze parti sono stati a lungo usati per tracciare le persone mentre navigano su internet. Questi cookie permettono alle aziende di raccogliere enormi quantità di dati sugli utenti, sollevando seri problemi di privacy. Come risposta, Google ha introdotto una nuova iniziativa chiamata Privacy Sandbox. Questo obiettivo è quello di sostituire i cookie di terze parti con nuovi metodi per targetizzare gli annunci senza seguire utenti individuali. Anche se ci sono stati vari studi su altri aspetti di questa iniziativa, non è stato fatto molto per analizzare se possa realmente prevenire il collegamento delle richieste a un singolo utente.
Questo articolo si concentra sull'esame dei rischi per la privacy legati ai sistemi di reportistica proposti nella Privacy Sandbox. Questi sistemi sono progettati per consentire annunci online senza fare affidamento sui cookie di terze parti. Descriveremo come funziona il sistema e evidenzieremo i potenziali punti deboli che potrebbero permettere a malintenzionati di collegare richieste da siti diversi allo stesso utente.
La Storia dei Cookie e delle Preoccupazioni per la Privacy
I cookie sono file che i siti web mettono sul browser di un utente per ricordare informazioni su di loro. Ci sono due tipi principali di cookie: i cookie di prima parte, che sono impostati dal sito che l’utente sta visitando, e i cookie di terze parti, che sono impostati da altri siti per tracciare gli utenti su internet.
Anche se i cookie possono migliorare l'esperienza dell'utente, come salvare i contenuti del carrello, i cookie di terze parti hanno generato molte preoccupazioni. Permettono alle aziende di monitorare il comportamento degli utenti su più siti, consentendo una pubblicità mirata che può sembrare invadente. Per affrontare queste preoccupazioni, enti normativi come l'Unione Europea hanno introdotto leggi sulla privacy molto severe, imponendo pesanti sanzioni alle aziende che non si conformano.
Vari browser web hanno iniziato a bloccare i cookie di terze parti per proteggere la privacy degli utenti. Per esempio, Firefox e Safari hanno preso provvedimenti per bloccare completamente questi cookie. Anche Google ha annunciato piani in un post sul blog per migliorare il controllo dei cookie nel loro browser Chrome e per eliminare i cookie di terze parti attraverso l'iniziativa Privacy Sandbox.
L'Iniziativa Privacy Sandbox
La Privacy Sandbox punta a creare nuove tecnologie che consentano la pubblicità mirata senza i cookie di terze parti. Invece di tracciare utenti singoli, l'idea è di raggruppare utenti con interessi simili e targetizzare gli annunci in base a questi gruppi di interesse.
Alcuni componenti della Privacy Sandbox includono:
- Private State Token API: Questo serve a combattere frodi e spam sul web.
- Attribution Reporting API: Questo permette di misurare l'efficacia degli annunci digitali.
- Fenced Frames API: Questo rafforza i confini di privacy quando i contenuti vengono caricati da siti diversi.
Anche se molte discussioni si sono concentrate sulla proposta di Federated Learning of Cohorts (FLoC), che raggruppa gli utenti in base alle abitudini di navigazione, Google l'ha sostituita con la proposta Topics. Questo nuovo approccio consente di targetizzare gli utenti in base agli interessi senza condividere storie di navigazione dettagliate.
L'obiettivo di questo articolo sarà analizzare un componente specifico della Privacy Sandbox, che in precedenza era noto come FLEDGE. Il principale scopo di questo componente è consentire la pubblicità mirata senza compromettere la privacy degli utenti, in particolare prevenendo che richieste diverse vengano collegate allo stesso individuo.
Come Funziona il Sistema
La Privacy Sandbox è progettata per spostare le aste pubblicitarie dai server centralizzati ai browser degli utenti. Questo cambiamento mira a evitare l'invio di informazioni che possono essere utilizzate per il Tracciamento.
Quando un utente visita un sito che vuole mostrare annunci, il sito può caricare un gruppo di interesse nel browser dell'utente. Questo viene fatto attraverso una funzione JavaScript che collega l'utente a gruppi di interesse specifici in base alla sua cronologia di navigazione. Quando l'utente visita un altro sito che serve annunci, si svolge un'asta nel browser dell'utente per determinare quale annuncio verrà mostrato.
Durante questo processo d'asta, le informazioni sugli interessi dell'utente sono mantenute all'interno del loro browser. In teoria, gli inserzionisti possono fare offerte per annunci basati su questi interessi senza bisogno di conoscere informazioni dettagliate sugli utenti singoli.
Tuttavia, questo sistema non è ancora completamente implementato. Molti componenti sono ancora in fase di sviluppo e ci sono preoccupazioni su quanto bene il sistema possa proteggere la privacy degli utenti.
Analizzando i Rischi per la Privacy
Per capire se la Privacy Sandbox può davvero proteggere la privacy degli utenti, dobbiamo valutare come funziona il meccanismo di reportistica degli annunci. Questo meccanismo consente al sistema di inviare i dati degli utenti ai server centralizzati, il che potrebbe dare ai malintenzionati opportunità di collegare le richieste.
Il processo di reportistica avviene dopo la conclusione di un'asta. I vincitori e i venditori possono inviare informazioni sui risultati dell'asta ai loro server. Questo processo presenta seri rischi per la privacy, poiché consente ai partecipanti di determinare quando un determinato utente ha visitato un sito.
Anche se la Privacy Sandbox tenta di crittografare i rapporti a livello di eventi e implementare ritardi temporali prima di inviarli, queste misure potrebbero non essere sufficienti per fermare i malintenzionati dal collegare le richieste.
Il sistema è costruito sull'assunzione che i componenti individuali funzionino in modo sicuro e non perdano dati. Tuttavia, potrebbero esistere collegamenti deboli in qualsiasi punto del processo, rendendo fondamentale analizzare le potenziali vulnerabilità.
Scenari di Attacco
Per dimostrare come i malintenzionati potrebbero sfruttare queste debolezze, possiamo guardare diversi scenari in cui mirano a collegare le richieste e tracciare gli utenti.
Scenario 1: Collegare un Singolo Utente
In questo semplice scenario, un attaccante controlla due siti web: un sito principale dove gli utenti rivelano le loro identità e un sito secondario dove gli utenti si aspettano anonimato. L'attaccante associa i gruppi di interesse all'utente quando visita il sito principale.
Quando l'utente visita successivamente il sito secondario, l'attaccante vince un'asta come acquirente. Usa le informazioni ricevute dall'asta per confermare che lo stesso utente ha visitato il sito secondario e, quindi, può collegare le due richieste insieme.
Scenario 2: Collegare uno di Molti Utenti
In questo caso, un attaccante vuole collegare le richieste di più utenti. Controlla diversi siti di acquirenti, permettendo loro di associare gruppi di interesse a un elenco di potenziali utenti quando visitano il sito principale.
Successivamente, quando questi utenti visitano il sito secondario, l'attaccante può analizzare i rapporti d'asta per determinare quale utente ha visitato, collegando effettivamente le richieste tra più candidati.
Scenario 3: Sorveglianza di Massa
Questo scenario dimostra come un attaccante potrebbe condurre una sorveglianza di massa dopo che i cookie di terze parti non sono più disponibili. L'attaccante raccoglie numerosi rapporti da acquirenti collusi corrispondenti a più visite di utenti.
Analizzando questi rapporti, l'attaccante può dedurre quali utenti hanno visitato il sito secondario, consentendo una sorveglianza su larga scala.
Mitigare i Rischi di Collegamento
Per affrontare il potenziale di collegamento delle richieste degli utenti, possiamo identificare alcune contromisure che potrebbero essere adottate per migliorare la privacy all'interno della Privacy Sandbox.
Limitare l'Esecuzione del Codice
Un modo efficace per ridurre il rischio di collegamento è limitare l'esecuzione di codice arbitrario durante il processo d'asta. Restrigendo i tipi di input e output consentiti di passare tra acquirenti e venditori, diventa più difficile per i malintenzionati comunicare dati sensibili.
Migliorare i Meccanismi di Reportistica
Un altro modo per migliorare la privacy è ripensare a come viene fatta la reportistica. Implementare metodi più robusti per aggiungere rumore ai dati prima che vengano aggregati potrebbe proteggere meglio gli utenti singoli. La privacy differenziale locale potrebbe essere un'aggiunta preziosa, assicurando che i dati degli utenti rimangano oscuri anche quando aggregati.
Conclusione
La Privacy Sandbox di Google rappresenta un passo importante verso l'affrontare le preoccupazioni sulla privacy associate al tracciamento online. Tuttavia, così com'è, molti dei meccanismi proposti per la privacy non sono ancora completamente realizzati.
Pur presentando nuove possibilità per la pubblicità mirata senza cookie di terze parti, i rischi legati al collegamento delle richieste e al tracciamento sono significativi. Man mano che questo sistema viene implementato, sarà essenziale continuare a valutare la sua efficacia nel proteggere la privacy degli utenti.
Identificando vulnerabilità precocemente nel processo di implementazione, possiamo contribuire a spianare la strada per un ecosistema pubblicitario online più sicuro e privato. L'equilibrio tra pubblicità efficace e privacy è cruciale, e raggiungere questo equilibrio richiederà uno scrutinio e uno sviluppo continui mentre la Privacy Sandbox evolve.
Titolo: Evaluating Google's Protected Audience Protocol
Estratto: While third-party cookies have been a key component of the digital marketing ecosystem for years, they allow users to be tracked across web sites in ways that raise serious privacy concerns. Google has proposed the Privacy Sandbox initiative to enable ad targeting without third-party cookies. While there have been several studies focused on other aspects of this initiative, there has been little analysis to date as to how well the system achieves the intended goal of preventing request linking. This work focuses on analyzing linkage privacy risks for the reporting mechanisms proposed in the Protected Audience (PrAu) proposal (previously known as FLEDGE), which is intended to enable online remarketing without using third-party cookies. We summarize the overall workflow of PrAu and highlight potential privacy risks associated with its proposed design, focusing on scenarios in which adversaries attempt to link requests to different sites to the same user. We show how a realistic adversary would be still able to use the privacy-protected reporting mechanisms to link user requests and conduct mass surveillance, even with correct implementations of all the currently proposed privacy mechanisms.
Autori: Minjun Long, David Evans
Ultimo aggiornamento: 2024-05-20 00:00:00
Lingua: English
URL di origine: https://arxiv.org/abs/2405.08102
Fonte PDF: https://arxiv.org/pdf/2405.08102
Licenza: https://creativecommons.org/licenses/by/4.0/
Modifiche: Questa sintesi è stata creata con l'assistenza di AI e potrebbe presentare delle imprecisioni. Per informazioni accurate, consultare i documenti originali collegati qui.
Si ringrazia arxiv per l'utilizzo della sua interoperabilità ad accesso aperto.