Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향CNAME 클로킹 기술을 사용하기 시작한 온라인 트래커
작성일 2021-02-25 조회 33

 

 

브라우저 제조업체가 서드 파티 추적을 지속적으로 단속함에 따라 광고 기술 회사는 이러한 방어를 회피하기 위해 DNS 기술을 점점 더 많이 사용하고 있으며, 이는 웹 보안 및 개인 정보에 위협이되고 있다.

 

CNAME Cloaking 이라고 부르는, 자사 쿠키와 타사 쿠키의 구분을 모호하게하는 관행은 사용자의 동의없이 민감한 개인 정보를 유출 할뿐만 아니라 웹 보안 위협 표면을 증가시킨다.

 

연구진은 논문에서 "이 추적 체계는 하위 도메인의 CNAME 레코드를 활용하여 이를 포함하는 웹 사이트와 동일한 사이트가 되도록합니다. 따라서 제 3자 쿠키를 차단하는 방어는 효과가 없습니다." 라고 말했다.

 

이 연구 결과는 7월에 제 21회 개인 정보 보호 강화 기술 심포지엄(PETS 2021)에서 발표될 예정이다.

 

지난 4년 동안 Google 크롬을 제외한 모든 주요 브라우저에는 타사 추적을 억제하기위한 대책이 포함되었다.

 

Apple은 2017년 6월에 ITP(Intelligent Tracking Protection)라는 Safari 기능으로 쿠키 및 기타 웹 사이트 데이터를 더욱 제한하여 교차 사이트 추적을 줄이기 위해 데스크톱 및 모바일에 새로운 개인 정보 보호 표준을 설정했다.

 

2년 후, 아이폰 제조업체는 온라인 광고를 비공개로 만들기 위해 "개인 정보 보호 광고 클릭 어트리뷰션" 이라는 별도의 계획을 수립했다.

 

Mozilla는 2019년 9월부터 ETP(Enhanced Tracking Protection)라는 기능을 통해 기본적으로 Firefox에서 타사 쿠키를 차단하기 시작했으며 2020년 1월에는 Microsoft의 Chromium 기반 Edge 브라우저가 이를 따랐다.

 

그 후 2020년 3월 말에 Apple은 로그인 지문을 방지하기 위한 다른 기능 중에서도 완전한 타사 쿠키 차단 기능으로 ITP를 업데이트했다.

 

구글은 작년 초에 "프라이버시 샌드 박스" 라는 새로운 프레임 워크를 위해 크롬에서 제 3자 쿠키와 트래커를 단계적으로 제거할 계획이라고 발표했지만 2022년까지 적용되지 않을 것으로 예상된다.

 

프라이버시를 강화하기위한 이러한 쿠키 킬링 장벽에 직면하여 마케터는 크로스 사이트 추적에 대해 대안을 찾기 시작했다.

 

웹 사이트에서 추적기 차단기를 우회하기 위해 DNS 구성의 CNAME 레코드를 통해 타사 추적 도메인의 별칭으로 자사 하위 도메인을 사용하는 표준 이름(CNAME) 클로킹을 입력한다.

 

DNS의 CNAME 레코드를 사용하면 도메인 또는 하위 도메인을 다른 도메인 (즉, 별칭)으로 매핑할 수 있으므로 자사 하위 도메인을 가장하여 추적 코드를 밀수하는 이상적인 수단이 된다.

 

WebKit 보안 엔지니어인 John Wilander는 "이는 사이트 소유자가 sub.blog.example과 같은 하위 도메인 중 하나를 구성하여 IP 주소로 확인하기 전에 thirdParty.example로 확인할 수 있음을 의미합니다."라고 설명했다.

 

"이는 웹 레이어 아래에서 발생하며 CNAME 클로킹이라고합니다. thirdParty.example 도메인은 sub.blog.example로 클로킹되므로 자사와 동일한 권한을 갖습니다."라고 덧붙였다.

 

즉, CNAME 클로킹은 추적 코드를 자사 도메인과 다른 CNAME을 통해 확인하는 리소스를 사용하여 실제로는 아니지만 자사처럼 보이게 만든다.

 

이 추적 체계는 지난 22개월 동안 21% 성장하면서 빠르게 퍼지고 있다.

 

연구자들은 연구에서 10,474개의 웹 사이트에서 이러한 추적 서비스를 제공하는 제공 업체 13개를 발견했을뿐만 아니라 상위 10,000개의 웹 사이트 중 9.98 %에서 사용된다는 사실을 발견했다.

 

더욱이 이 연구는 광고 기술 회사인 Criteo 가 브라우저의 개인 정보 보호를 우회하기 위해 특별히 CNAME 클로킹으로 전환한 애플 웹 브라우저 Safari의 표적 처리를 인용한다.

 

 

 

[그림1. CNAME 클로킹]

 

 

Apple이 이미 CNAME 클로킹에 대한 방어 기능을 출시했음을 감안할 때 이 발견은 iOS 14 및 macOS Big Sur를 사용하지 않는 장치에 더 반영될 가능성이 높다.

 

아마도 가장 문제가되는 것은 CNAME 추적을 사용한 7,797개 사이트 중 7,377개 사이트(95%)에서 쿠키 데이터 유출이 발견되었다는 것이다.

 

이 사이트 모두 사용자의 명시적 확인 없이 전체 이름, 위치, 이메일 주소 및 다른 도메인의 추적자에 대한 인증 쿠키등을 제공한다.

 

연구원들은 HTTPS와 달리 HTTP에 포함된 많은 CNAME 트래커를 통해 데이터를 다른 트래커로 보내는 요청이 MitM(man-in-the-middle) 공격에서 악의적인 공격자에 의해 탈취될 가능성이 높다고 판단한다.

 

또한 추적기를 동일한 사이트로 포함하여 공격 표면이 증가하면 웹 사이트 방문자의 데이터가 세션 고정 및 교차 사이트 스크립팅 공격에 노출될 수 있다.

 

연구원들은 앞서 언급한 문제를 해결하기 위해 트래커 개발자와 협력했다고 말했다.

 

 

 

출처

https://thehackernews.com/2021/02/online-trackers-increasingly-switching.html

 

 

첨부파일 첨부파일이 없습니다.
태그 CNAME