Riscos de Privacidade na Iniciativa Privacy Sandbox do Google
Analisando as ameaças à privacidade trazidas pelos mecanismos de relatórios de anúncios do Privacy Sandbox.
― 8 min ler
Índice
No mundo digital, os Cookies de Terceiros são usados há bastante tempo pra rastrear as pessoas enquanto elas navegam na internet. Esses cookies permitem que as empresas coletem uma quantidade enorme de dados sobre os usuários, gerando sérias preocupações sobre privacidade. Como resposta, o Google lançou uma nova iniciativa chamada Privacy Sandbox. O objetivo é substituir os cookies de terceiros por novas maneiras de direcionar anúncios sem rastrear usuários individuais. Embora tenham rolado várias pesquisas sobre outros aspectos dessa iniciativa, pouco foi feito pra analisar se ela realmente pode evitar que pedidos sejam vinculados a um único usuário.
Esse artigo foca em examinar os riscos de privacidade ligados aos sistemas de reportes propostos na Privacy Sandbox. Esses sistemas são feitos pra permitir anúncios online sem depender de cookies de terceiros. Vamos explicar como o sistema funciona e destacar pontos fracos que podem permitir que adversários conectem pedidos de diferentes sites ao mesmo usuário.
A História dos Cookies e as Preocupações com a Privacidade
Cookies são arquivos que os sites colocam no navegador de um usuário pra lembrar informações sobre ele. Tem dois tipos principais de cookies: cookies de primeiro partido, que são definidos pelo site que o usuário tá visitando, e cookies de terceiros, que são definidos por outros sites pra rastrear usuários pela web.
Embora os cookies possam melhorar a experiência do usuário, como salvar o conteúdo do carrinho de compras, os cookies de terceiros geraram muita preocupação. Eles permitem que as empresas monitorem o comportamento dos usuários em vários sites, possibilitando a publicidade direcionada que pode parecer invasiva. Pra lidar com essas preocupações, órgãos regulatórios como a União Europeia criaram leis de privacidade rigorosas, impondo pesadas multas nas empresas que não se adaptam.
Vários navegadores começaram a bloquear cookies de terceiros pra proteger a privacidade dos usuários. Por exemplo, Firefox e Safari tomaram medidas pra bloquear esses cookies completamente. Até o Google anunciou planos em um post no blog pra melhorar o controle de cookies no navegador Chrome e pra eliminar os cookies de terceiros através da iniciativa Privacy Sandbox.
A Iniciativa Privacy Sandbox
A Privacy Sandbox tem como objetivo criar novas tecnologias que permitem a segmentação de anúncios sem cookies de terceiros. Em vez de rastrear usuários individuais, a ideia é agrupar usuários com interesses semelhantes e direcionar anúncios com base nesses grupos de interesse.
Alguns componentes da Privacy Sandbox incluem:
- Private State Token API: Isso é feito pra combater fraudes e spam na web.
- Attribution Reporting API: Isso permite medir a eficácia dos anúncios digitais.
- Fenced Frames API: Isso fortalece os limites de privacidade quando o conteúdo é carregado de diferentes sites.
Embora muitas discussões tenham se concentrado na proposta Federated Learning of Cohorts (FLoC), que agrupa usuários por hábitos de navegação, o Google substituiu por uma proposta chamada Topics. Essa nova abordagem permite direcionar anúncios a usuários com base em interesses sem compartilhar históricos de navegação detalhados.
O foco desse artigo será analisar um componente específico da Privacy Sandbox, que anteriormente era conhecido como FLEDGE. O principal objetivo desse componente é permitir a segmentação de anúncios sem comprometer a privacidade do usuário, especificamente impedindo que diferentes pedidos sejam vinculados ao mesmo indivíduo.
Como o Sistema Funciona
A Privacy Sandbox é feita pra deslocar os leilões de anúncios de servidores centralizados pra os navegadores dos usuários. Essa mudança tem o objetivo de evitar o envio de informações que podem ser usadas pra Rastreamento.
Quando um usuário visita um site que quer exibir anúncios, o site pode carregar um grupo de interesse no navegador do usuário. Isso é feito através de uma função JavaScript que conecta o usuário a grupos de interesse específicos com base no histórico de navegação dele. Quando o usuário visita outro site que serve anúncios, rola um leilão no navegador do usuário pra determinar qual anúncio será exibido.
Durante esse processo de leilão, as informações sobre os interesses do usuário permanecem dentro do navegador dele. Em teoria, os anunciantes podem dar lances pros anúncios com base nesses interesses sem precisar saber informações detalhadas sobre os usuários individuais.
No entanto, esse sistema ainda não está totalmente implementado. Muitos componentes ainda estão sendo desenvolvidos, e existem preocupações sobre quão bem o sistema pode proteger a privacidade do usuário.
Analisando Riscos de Privacidade
Pra entender se a Privacy Sandbox pode realmente proteger a privacidade dos usuários, precisamos avaliar como o mecanismo de relatórios de anúncios funciona. Esse mecanismo permite que o sistema envie dados de usuários de volta pra servidores centralizados, o que poderia dar oportunidades pra adversários vincularem pedidos.
O processo de relatório acontece depois que um leilão termina. Os vencedores e vendedores podem enviar informações sobre os resultados do leilão de volta pros seus servidores. Esse processo apresenta sérios riscos de privacidade, já que permite que os participantes determinem quando um usuário específico visitou um site.
Mesmo que a Privacy Sandbox tente criptografar relatórios em nível de evento e implementar atrasos de tempo antes de enviá-los, essas medidas podem não ser suficientes pra impedir que adversários vinculem pedidos.
O sistema é construído com a suposição de que os componentes individuais operam de forma segura e não vazam dados. No entanto, pontos fracos poderiam existir em qualquer parte do processo, tornando vital analisar possíveis vulnerabilidades.
Cenários de Ataque
Pra demonstrar como adversários poderiam explorar essas fraquezas, podemos olhar pra diferentes cenários onde eles pretendem vincular pedidos e rastrear usuários.
Cenário 1: Vinculando um Único Usuário
Nesse cenário simples, um atacante controla dois sites: um site principal onde os usuários revelam suas identidades e um site secundário onde os usuários esperam anonimato. O atacante associa grupos de interesse ao usuário quando ele visita o site principal.
Quando o usuário visita o site secundário mais tarde, o atacante ganha um leilão como comprador. Ele usa as informações recebidas do leilão pra confirmar que o mesmo usuário visitou o site secundário e, portanto, pode vincular os dois pedidos.
Cenário 2: Vinculando Um de Muitos Usuários
Nesse caso, um atacante quer vincular os pedidos de vários usuários. Ele controla vários sites de comprador, permitindo que ele associe grupos de interesse a uma lista de usuários potenciais quando eles visitam o site principal.
Mais tarde, quando esses usuários visitam o site secundário, o atacante pode analisar os relatórios de leilão pra determinar qual usuário visitou, efetivamente vinculando pedidos entre vários candidatos.
Cenário 3: Vigilância em Massa
Esse cenário demonstra como um atacante poderia realizar vigilância em massa depois que os cookies de terceiros não estão mais disponíveis. O atacante coleta vários relatórios de compradores cúmplices correspondentes a várias visitas de usuários.
Ao analisar esses relatórios, o atacante pode inferir quais usuários visitaram o site secundário, permitindo vigilância em larga escala.
Mitigando Riscos de Vinculação
Pra lidar com o potencial de vincular pedidos de usuários, podemos identificar algumas medidas que poderiam ser tomadas pra melhorar a privacidade dentro da Privacy Sandbox.
Limitando a Execução de Código
Uma maneira eficaz de reduzir o risco de vinculação é limitar a execução de código arbitrário durante o processo de leilão. Ao restringir os tipos de entradas e saídas que podem passar entre compradores e vendedores, fica mais difícil pros adversários comunicarem dados sensíveis.
Melhorando os Mecanismos de Relato
Outra maneira de aumentar a privacidade é repensar como os relatórios são feitos. Implementar métodos mais robustos pra adicionar ruído aos dados antes de serem agregados poderia proteger melhor os usuários individuais. A privacidade diferencial local poderia ser uma adição valiosa, garantindo que os dados dos usuários permaneçam obscurecidos mesmo quando agregados.
Conclusão
A Privacy Sandbox do Google representa um passo importante pra lidar com as preocupações de privacidade associadas ao rastreamento online. No entanto, como está, muitos dos mecanismos de privacidade propostos ainda não estão totalmente implementados.
Embora apresente novas possibilidades pra publicidade direcionada sem cookies de terceiros, os riscos ligados à vinculação de pedidos e rastreamento são significativos. À medida que esse sistema for sendo implantado, será essencial continuar avaliando sua eficácia em proteger a privacidade dos usuários.
Identificando vulnerabilidades logo no começo do processo de implementação, podemos ajudar a pavimentar o caminho pra um ecossistema de publicidade online mais seguro e privado. O equilíbrio entre publicidade eficaz e privacidade é crucial, e alcançar esse equilíbrio vai exigir um exame contínuo e desenvolvimento à medida que a Privacy Sandbox evolui.
Título: Evaluating Google's Protected Audience Protocol
Resumo: While third-party cookies have been a key component of the digital marketing ecosystem for years, they allow users to be tracked across web sites in ways that raise serious privacy concerns. Google has proposed the Privacy Sandbox initiative to enable ad targeting without third-party cookies. While there have been several studies focused on other aspects of this initiative, there has been little analysis to date as to how well the system achieves the intended goal of preventing request linking. This work focuses on analyzing linkage privacy risks for the reporting mechanisms proposed in the Protected Audience (PrAu) proposal (previously known as FLEDGE), which is intended to enable online remarketing without using third-party cookies. We summarize the overall workflow of PrAu and highlight potential privacy risks associated with its proposed design, focusing on scenarios in which adversaries attempt to link requests to different sites to the same user. We show how a realistic adversary would be still able to use the privacy-protected reporting mechanisms to link user requests and conduct mass surveillance, even with correct implementations of all the currently proposed privacy mechanisms.
Autores: Minjun Long, David Evans
Última atualização: 2024-05-20 00:00:00
Idioma: English
Fonte URL: https://arxiv.org/abs/2405.08102
Fonte PDF: https://arxiv.org/pdf/2405.08102
Licença: https://creativecommons.org/licenses/by/4.0/
Alterações: Este resumo foi elaborado com a assistência da AI e pode conter imprecisões. Para obter informações exactas, consulte os documentos originais ligados aqui.
Obrigado ao arxiv pela utilização da sua interoperabilidade de acesso aberto.