Mozilla针对Google正在测试的新广告关注技术(Federated Learning of Cohorts,FLoC)进行详细的隐私分析,发现该技术存在浏览器指纹,和泄露过多信息等问题,甚至可能使当前的反关注技术失效,而且Google所提出缓解机制,仍无法有效解决这些问题。
当前网页中,定位器会对每个用户构建Cookie,当用户访问有嵌入定位器的网站时,定位器就能访问Cookie,构建用户浏览网站的列表,广告商根据关注浏览记录信息定向相关的广告。Mozilla提到,这个方法之所以有争议,是因为广告商从用户浏览的网站历程中学习推荐广告。
FLoC则是用来代替Cookie的广告关注技术,用户不需要暴露浏览记录与行为,广告商就能够根据用户的兴趣来定向广告,FLoC使用新的群组ID取代Cookie,Google表示,FLoC通过观察一群有相同兴趣的用户,能够避免针对特定个人,因此可以保护用户隐私安全。
不过,经过Mozilla对FLoC进行分析,发现几个FLoC待解决的隐私问题。由于群组ID可被用于关注,即便FLoC中定义的群组用户数相对较大,切确大小仍在讨论中,可能包含数千名用户,但Mozilla表示,这不代表群组内的用户无法被关注,因为数千人共享同一个群组ID,当关注者有其他额外的信息,便可以快速缩小用户范围。
这些额外信息包括浏览器指纹,像是用户可能使用Firefox或是Chrome等浏览器,所使用的操作系统包括Windows和Mac等,再加上用户所使用的语言也不同。这些属性都可以被用于区分用户,与只有几千名用户的FLoC群组相结合时,仅需要少量信息,就可以限缩范围至几个人。
而且FLoC群组ID并非固定不变,毕竟人的兴趣和关注的事物也会不停改变,目前FLoC群组ID的设计,每周都会重新计算一次,而这代表用户只要能够使用其他信息来连接用户的访问,便可以收集用户每一周的群组ID组合,来识别出单一用户。Mozilla指出,这是很严重的问题,因为就连目前最先进的反关注技术,包括Firefox的Total Cookie Protection(TCP)都会失效,即便用户激活TCP,在FLoC下仍然会被关注。
另外,FLoC还泄露比用户预期更多的信息,Mozilla解释,在基于Cookie的关注,定位器可以获得的信息量,取决于嵌入该定位器的网站数量,而且为了要了解用户的兴趣,网站本身必需要参与其中,包括采用定位器并且共同合作,在允许的情况下,这类型的关注进行很容易,但要是第三方Cookie被阻挡,定位器就无法有效关注用户。
但是FLoC破坏了目前对于Cookie的限制政策,因为群组ID在所有网站中都是相同的,成为了定位器用来关联外部相关资料源的共享密钥,像是拥有大量第一方资料的定位器,就可以关联使用群组ID,探索像是“拥有该群组ID的用户喜欢汽车吗?”这样的问题,Mozilla指出,通过FLoC技术,任何网站都可以花费更少的努力来了解用户。
Mozilla认为Google所提出,用来改善这些问题的机制不够完善,像是网站虽然可以自由选择使用FLoC,但是目前偏向默认加入的形式。Chrome正在进行试验FLoC,而当网站加载广告相关资源,或是调用FLoC API时,就会被加入FLoC计算中,网站必需要在权限政策HTTP标头明确退出FLoC,才不会被纳入FLoC计算中。
再来,虽然Google会限制敏感主题的网站加入群组ID的计算,目的是要避免用户被归类到敏感的主题上,但Mozilla指出,虽然立意良好,但是似乎很难彻底实现,包括敏感列表可能不完整,各方无法对敏感主题完成共识,或是有一些网站本身虽然不具敏感性,但是与之关联的网站却包含敏感内容。
总结来说,Mozilla认为FLoC如果以当前的规范部署,可能会产生重大风险,还需要再进一步改善,才能真正解决这些问题,确保修户的隐私安全。