为了顺应当前形势和更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 IT技术 安全攻防 查看内容

被长期忽视、却危害巨大的邮件追踪术

2018-6-2 03:35| 投稿: xiaotiger |来自: 互联网

摘要: 编者按:数据,数据,一直是数据!越来越多人产生数据,就有更多人想要掌握数据。本文作者Brian Merchant在“How Email Open Tracking Quietly Took Over the Web”一文中讲述了自己使用邮件追踪服务最后又放弃掉它 ...

编者按:数据,数据,一直是数据!越来越多人产生数据,就有更多人想要掌握数据。本文作者Brian Merchant在“How Email Open Tracking Quietly Took Over the Web”一文中讲述了自己使用邮件追踪服务最后又放弃掉它的过程始末,并借此探讨这一技术的未来和需要的应对之举。

“我刚刚看到这封邮件,”这封迟到的回复这样开头。但是我知道他撒了谎。在六个月之前,他查阅了我的邮件,用一个Mac,在帕洛阿尔托,当时正值夜晚。

我之所以知道这些是因为我安装了Streak电子邮件追踪服务,一旦邮件被打开,我就会收到通知。它会告诉我收件人在哪里、在什么时候,在哪种类型的设备上查阅了邮件。在Streak出现之后,我每次浏览自己的收件箱就仿若一名内部交易员,知道一些细节,这些细节为我提供太多“情报”。当然,并不是只有我一人在这么做。

每天发送和接收的电子邮件约达2690亿封。平均下来大概地球上每人每天需要处理35封邮件。据OMC去年6月份发布的一份研究报告显示,超过40%的电子邮件被追踪。OMC是一家“电子邮件情报”公司,该公司还开发了反追踪工具。

追踪技术很简单。发件人需要在追踪的邮件正文中嵌入一行代码,它通常隐藏在1×1像素的图像,非常小且不可见,也可以放在超链接或自定义字体等元素中。一旦收件人打开电子邮件,发件人可以知道在哪个地方以及什么设备上,像素被下载情况。多年来,通讯服务人员、营销人员和广告客户一直使用该技术收集产品的打开率数据。而像Facebook和Twitter这样的大型科技公司也纷纷效仿,在网上对我们的行为进行剖析和预测。

但是最近,一个令人惊讶的发现是,发送带追踪器的发件人更多是熟人,而非来自于企业。“我们一直与那些被其配偶、商业伙伴、竞争对手所追踪的用户保持联系,”OMC创始人佛洛里安· 赛鲁西说道。“这如同蛮荒的西部世界。”

据OMC的数据显示,目前“对话式”邮件的被追踪率达19%,也即为从朋友那里收到电子邮件数量的五分之一。而也许你从来没有注意到。

“令人惊讶的是,尽管已经有大量关于网络追踪的文献研究,但是针对电子邮件追踪的研究却少之又少。”普林斯顿大学三位计算机科学家在2017年10月发表的一篇论文中指出。以上一切事实意味着,每天发送给数百万人的共计数十亿封电子邮件以一种未曾察觉的方式被追踪。而赛鲁西认为,其中部分邮件被追踪情况可能会导致十分严重的后果。

而就在21世纪前十年,电子邮件追踪技术几乎尚未被主流大众所知悉。在2006年,一项名为ReadNotify的早期追踪服务引起了轩然大波,惠普在这次诉讼中被揭露使用该产品追踪一封泄露给媒体的诽谤性电子邮件的起源。尽管通讯服务人员、销售人员和营销人员长期使用邮件追踪技术收集数据,但是这种技术的侵入性和简单性却仍令人十分震惊。

赛鲁西说Gmail在其中扮演着破冰者的角色,他追溯至追踪数据的付费链接首次出现在我们收件箱里的时刻。当时它看起来就十分具有侵略性,甚至令人不安。“现在,”他说,“这已经成为常识,每个人对此心平气和。”Gmail的尝试点燃了这一信号,当广告商和销售人员意识到他们可以通过追踪数据有针对性的发送广告,且这一行为不存在持之以恒的阻力时,追踪技术开始普及。

“据我所了解,在线销售行业中的独立销售团队没有不使用某种形式的电子邮件公开追踪技术的。”内容营销专家兼Growth Plays首席顾问John-Henry Scherck说道,“在我看来,每个人都使用这一追踪技术只会是时间问题,” Scherck说道,“除非主要的电子邮件提供商完全屏蔽掉它。”

垃圾邮件在某种程度上与此种变化有关。“有心计的垃圾邮件发送者会追踪用户的所有活动,他们倾向于购买完整的邮件地址名单,并积极地排除垃圾邮件陷阱或未使用的邮件用户。” Bitdefender垃圾邮件研究员安德烈·阿弗罗瑞里说道:“一旦用户点击了他们所发送的邮件中任何一条连接,他们就会知道这个邮件正在被使用并会发送更多的垃圾邮件。”

但是营销人员和在线销售人员,甚至是垃圾邮件发送者不会对大多数追踪行为负责。“现在,科技公司在其中扮演主要角色。”赛鲁西说,“亚马逊一直在频繁使用该技术,Facebook也是如此。如果不谈MailChimp,Facebook在追踪者排行榜上排名第一。”当Facebook发送邮件提醒你的账户有新动态时,“它就在后台打开了一款APP,之后Facebook就知道你在哪里,使用什么设备,拍摄的最新一张照片,简言之,它拿到了所有东西。”

无论是亚马逊,还是Facebook都“在电子邮件中添加了可点击链接,从而使用户在自己的设备上触发目标应用程序。” 赛鲁西说道,“基于用户的设置权限,Facebook几乎可以访问所有东西,Camera Roll、位置和其他隐藏日志等等。而即使用户在设备上禁用了位置许可,电子邮件追踪也会绕过这一限制,为Facebook收集用户信息。”

去年,我偶然间进入了电子邮件追踪的世界,当时我正在写一本关于iPhone的书,里面会谈及这家以保密著称的公司。我与苹果公司取得联系,要求进行一些采访,一开始公司的公共团队看起来很有礼貌,也很和蔼。我们彼此往来了几封邮件,接着对方就陷入了沉默。几个月过去,那些未得到回复的邮件“堆积如山”。我开始怀疑这些邮件是否被查阅。

在另一个被苹果公司阻挠记者的启发之下,我安装了电子邮件追踪器Streak。它是免费的,安装大约花费了30秒。之后,我给苹果公关部门发送了一封邮件。不多时,我的屏幕上突然跳出了一项通知:电子邮件几乎立刻被苹果公司的iPhone手机打开。后来,邮件一次又一次在iMac上打开。我的邮件不仅被查阅了,而且被频繁查看。这真让人抓狂,这个灰色的通知方块一次次出现,“有人刚刚看了‘关于图书采访的内容’”邮件,但是我却始终没有收到回复。

所以我决定直接向苹果的大boss进军。如果苹果的公关团队正在阅读我的电子邮件,也许蒂姆·库克也会这么做。

我给库克写了一封冗长的邮件,里面详细说明了他之所以应该接受我的采访的原因。当我发现没有任何后续时,我写了一封简单的后续,打开Streak,点击发送。几个小时后,我收到了通知:我的邮件已被查阅。但是有一个明显的细节值得注意,根据Streak的信息,这封邮件是在Windows电脑上打开。

也许这只是一点小意外。但是几周后,我又发送了一封跟进邮件,邮件又一次被查阅,同样在一台Windows设备上。

这一事实令人抓狂,因此我通过电子邮件询问了服务的准确性,并透露了我是一名记者。安德森在邮件中告诉我,Streak“非常准确”,因为它可以让你知道你的上级身处什么时区或者是什么状态,但是前提是我需要是一名销售人员。安德鲁强调,“如果你是一名记者,想要追踪某人的行踪,那这个准确性就无法保证了。”显而易见,安德鲁意图使Streak在具备极其准确性的同时,也是一种友好的非侵入性产品。毕竟,Streak的使用者希望获得尽可能准确的信息,但是如果收件人了解到这些数据的准确性,可能会感到愤怒,并会思考除了优化销售广告之外还能做些什么。这里有一个悖论,即上述行为即威胁着电子邮件追踪技术的发展,却也使其变得无处不在。毫无疑问,安德鲁的回答是奥威尔式的:“准确性是完全主观的行为。”就某一点而言,他坚持如此。

然而,安德鲁又明确表示, Streak所列出的设备信息也“非常准确”。无论这封邮件是发送给苹果公司的CEO,还是其他人。

蒂姆·库克可能是一个Windows“深柜”用户(谁知道呢!也许以前那些康柏时光对他影响极深),或者是他将自己的电子邮件通信外包给一家公司了呢,库克的例子充分说明了私人数据电子邮件追踪技术可能帮助我们了解那些最出名的公众人物。

“看,他们都打开了邮件,即使不曾回复。”赛鲁西说,“如果你能通过向其他人发送邮件知道他们身在何处,无论是发给名人还是发给普通人,这都是一种威胁。”它可以成为跟踪者,骚扰者,甚至是小偷的工具,通过向受害人发送垃圾邮件来查看其是否在家。

“2016年大选期间,我们向美国参议院和竞选总统的人发了一封追踪邮件。” 赛鲁西说道,“我们想知道,他们是否在关乎追踪的事情上有所作为?显而易见,答案是否定的。我们得到了他们的设备地址,IP地址,并且精确知道他们身处何地,以及住在哪个酒店。”

这也是Bitdefender杀毒软件公司的Afloarei对于使用追踪功能的恶意垃圾邮件发送者的担忧之处。“当谈到被垃圾邮件追踪的危险时,人们必须小心那些获得追踪信息的人,他们可以找到你的IP地址,你的位置以及工作场所。”他说道。Afloarei认为仅仅基于人们打开电子邮件的情况,邮件发送者就可以了解一个人的日常安排(“基于其查收邮件的时间”)、行程安排(是在家中、在公共汽车上、或是其他地方查看邮件)和个人偏好(基于在哪里收到电子邮件,比如说,一个体育论坛,或者是一个音乐粉丝站点。)

由于许多人通过电子邮件地址、从事职业及工作地点与社交媒体建立联系,Afloarei认为,将所有数据关联起来并追踪某人的信息是“极其容易做到之事”。“当然,大多数垃圾邮件只对获取个人的信用卡感兴趣,或者是仅仅感染其网络从而成为僵尸网络的一部分,但是真正狡猾之人除了做到这些之外,还可以推演出更多信息。”

另一个值得人们警惕的理由是:电子邮件追踪正在不断进化。10月份的一项研究调查了网络上14000个最受欢迎网站的时事通讯和邮件列表服务的电子邮件,发现其中85%含有追踪器,有30%的人会在未经本人允许的情况下将其电子邮件地址泄露给外部公司。

因此,一个人如果注册了时事通讯,即使其来源可靠,通讯服务发送给他的邮件中含有跟踪图像的概率也有三分之一,并在其后与“大规模第三方网站”分享你的电子邮件地址。换句话说,一旦你打开了带有追踪器的电子邮件,或者是点击了邮件中的链接,那么你的邮件地址信息就很容易被追踪公司、市场营销公司以及Axiom等数据代理公司共享。

“可能会有几十个机构获取了你的电子邮件地址,” Steven Englehardt说,他是致力于这方面研究的计算机科学家之一。“你的电子邮件地址代表了你的真实身份,对吗?如果今天你要去商店买些东西,或者是注册些什么,这一切就将其与你的电子邮件联系在一起。”长时间以来,数据掮客通过网络追踪行为收集消费者信息:浏览习惯、个人简介和位置数据。但是按照Englehardt的说法,新添一个邮件地址让人更有理由感到恐慌。

“这种追踪行为建立起了一个庞大的数据集。如果一份数据被泄露,那么所有人都可以看到这个人的信息,而信息被泄露者却对此一无所知。”他说道,“人们可以将其与Experian公司的数据泄露相比较,后者暴露了人们的社会安全号码,并进而导致诈骗行为的发生。在我看来,邮件泄密所带来的情况可能更糟糕。因为这不仅仅关乎金融诈骗,而且关乎人们私密生活细节的公开。”

基于上述风险,可能最令人震惊的是,即使人们的安全问题意识愈加增强,但是无处不在的邮件追踪行为的兴起就如此平静地发生了。

“它的确有所改变。其在会话系统中的应用越来越普遍,尤其是在商业电子邮件中。这才是最让我们害怕的事,” 赛鲁西说道,“在每六个向你发送的邮件中,就有一个嵌入了追踪器。”他们不是市场营销人员,也不是垃圾邮件发送者。“他们可能是你的朋友、妻子、老板,这多么令人震惊。你只是打开了一封邮件,就放弃了这么多隐私。”

在蒂姆·库克邮件追踪事件之后,我放弃了Streak。虽然很不情愿,但是需要承认它是有用的;我能更有效了解收件人在什么时候查阅了我的邮件,以及我在什么时候需要追加一封邮件。而由于我的Gmail邮箱做公私两用,最终我也追踪了家人和朋友。也就在那时,我发现如此直白的追踪行为违反了关于邮件礼仪的社会规范。我知道我的亲密朋友们读了我的电子邮件,却好几天没有回复。我看到了围绕电子邮件发生的每一个善意的谎言(没有收到邮件,或者是其被归类为垃圾邮件夹中)。当然,它偶尔确实不错。你可以粗略了解有多少人阅读了关于周末计划的最新更新,你可以有信心地说自己的兄弟并没有要远离自己,他只是在查阅邮件上做的不甚良好。但是更重要的是,它为我们已经混乱不已的各种通知又增加了一层不必要的期望,这些通知成为令人不堪其扰的社交指标。当它出现时,人们会疯狂地点击。更不用说那些鬼鬼祟祟的数字窥阴癖者。

显然,那些追踪机构想要避免一种情况。大多数时候,他们都隐藏在阴影中默默收集有用的销售数据和电子邮件打开率信息,并不想引起轩然大波。他们尤其不想使自己的产品被认为具有侵入性或者被视为间谍软件。然而,这却令其处于一个非常尴尬的境地:为了在新型电子邮件追踪服务领域中脱颖而出,他们需要吹嘘产品的准确性和易用性,同时需要给公众留下一种其所收集的数据并不具有威胁性的印象。

随着免费的,易于使用的追踪产品越来越多,一些电子邮件客户开始使用简单地邮件追踪功能,正如Airmail在2016年所做的那样。我们将不得不面对这样一种数字化社会景观,那里有追踪者所组成“起义军”,并出现越来越多的反追踪者。

如果当你在看特惠游轮价格时,不想让人知道你的确切位置;如果一位高中同学在你的度假照片下发表对特朗普的抨击之言时,你不想要Facebook再收集自己的设备数据;如果你身为世界顶级科技公司的首席执行官,并不愿与竞争对手的产品产生联系时,你仍有回还选择。

大量反追踪服务涌现出来,以应对邮件追踪器的兴起,其中包括Ugly Mail,PixelBlock和Senders。当邮件携带有追踪像素时,Ugly Mail会通知用户,PixelBlock则会阻止其打开。Senders则使用一种与Trackbuster类似的产品,将其作为信息显示服务的一部分而展示出正在查阅邮件的发送者。通过使用这些服务,我确认了一些熟人,以及我认为会在邮件中使用追踪的朋友。

但是这种方法并非万无一失。道高一尺魔高一丈,追踪技术总是在不断发展与改进,寻找绕过当前跟踪拦截器的方法。“这是一场发生持续几年的战斗,” 赛鲁西说道,“他们无法抵抗我们的应对之道,所以通过建设新的基础设施来绕过这些障碍。这是一场追逐战,他们需要全力应对。”

为了预防第三方泄露个人电子邮件信息,来自普林斯顿的恩格尔哈特认为“目前唯一有效的解决方案是在默认情况下屏蔽图像。”即在邮件客户端打开“禁止图像”的功能,这样就杜绝了一切可能的图像了。

OMC已经想出了众多获取用户邮件信息的新奇方法。“我们发现了70多种新的追踪方式,” 赛鲁西说道,“它可能是一种颜色,可能是一种字体,可能是一个像素,也可能是一串链接。”这是一场军备竞赛,其中一方占据重大优势。

当赛鲁西于2014年推出Trackbuster时,他预期下载量可达几百次。几个小时过去,下载量已达12000。值得讽刺的是,那些了解邮件追踪技术的追踪者,往往渴望找到一种可以抵御这一技术的方法。即便如此,其他一些追踪者则对反追踪技术所做之事异常愤怒。“我们收到过死亡威胁,”他说,与其感到愤怒不如用激愤形容更为贴切。毕竟,这里如同蛮荒的西部。“两年来,他们不断试图摧毁我们。”

营销顾问Scherck认为,谷歌完全可以站出来一举消灭电子邮件追踪功能。“我认为公众舆论可能转而支持电子邮件追踪技术,尤其是当Gmail开始用默认的弹出式窗口提醒用户时,或者是Ugly Email的原始版本做出类似举动之时。”他说道,“只需看看消费者是如何利用Facebook来打广告。人们绝对厌恶Uber购买那些使用Lyft的人的数据。”这一切只需要一个诱因。他说:“大多数消费者无知于自己放弃了多少信息。”

而如果谷歌和其他大型科技公司无意于让步,在赛鲁西看来,这个问题将会变得足够严重,以至于可以预见政府的干预。“如果大公司对此毫无反应,那么就应该制定一项定义某些追踪类型的法律。”他说。如果什么都不做,赛鲁西认为电子邮件追踪技术被恶意使用只是一个时间问题,而到那时,这些行为可能以非常公开的方式发生着。“我一直想知道是否会有陌生人闯入进一所房子,只是因为他们通过使用邮件追踪器而得知受害者不在城中。”他说,“这极有可能已经发生了。”

至于我自己,则已经厌倦了所有的追踪技术。经过这几个月模棱两可的观察,我不再想知道谁打开了我的邮件,却没有回复了。我不想如同吸毒者那样总在等待,等待一个重要信源发出一声响铃通知。我不想违反我们所遵守的不规范的数字社会契约规则;我的业余间谍体验已经结束。我删除了Streak,并使Senders在后台运行,还在电脑桌面上存放一张蒂姆·库利的Windows截图聊以纪念。

原文链接:https://www.wired.com/story/how-email-open-tracking-quietly-took-over-the-web/

编译组出品。编辑:郝鹏程


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部