SugarCoat، ابزاری برای حفاظت از داده ها

گروهی از مهندسان کامپیوترِ دانشگاه کالیفرنیا، سن‌دیگو با همکاری شرکت Brave Software ابزاری برای حفاظت از داده ها ساخته‌اند که امنیت داده‌های خصوصی افراد را در هنگام وب‌گردی افزایش می‌دهد. این ابزار که SugarCoat نام دارد، اسکریپت‌هایی که حریم خصوصی کاربران را نقض می‌کنند، هدف قرار می‌دهد؛ این اسکریپت‌ها نقش اساسی در عملکرد وب‌سایت‌ها دارند، اما برای مثال با رهگیری تاریخچه جست‌وجوی کاربران حریم خصوصی آن‌ها را به خطر می‌اندازند. SugarCoat این اسکریپت‌ها را با اسکریپ‌هایی که خصوصیات (properties) یکسانی دارند، جایگزین می‌کند؛ اما   ویژگی‌هایی (feature) که حریم خصوصی کاربران را به خطر می‌اندازند، از آن‌ها حذف می‌کند. SugarCoat به‌گونه‌ای طراحی شده است که می‌توان آن را در افزونه‌های مرورگر (برای مثال uBlock Origin) و مرورگرهایی نظیر Brave، FireFox و Tor که بر حریم خصوصی کاربران تمرکز دارند، ادغام کرد. این ابزار متن‌باز است و در مرورگر Brave ادغام شده است.

به گفته دیان استفان استادیار دانشکده مهندسی و علوم کامپیوترِ دانشگاه کالیفرنیا، سن‌دیگو، «SugarCoat سیستمی کاربردی است که با هدف رفع موقعیت باخت- باختی طراحی شده است که ابزارهای حریم خصوصی با آن مواجه می‌شوند: مسدود کردن اسکریپت‌هایی که حریم خصوصی کاربران را به خطر می‌اندازند و از کار انداختن وب‌سایت‌هایی که به آن‌ها متکی هستند یا ادامه کار وب‌سایت و نقض حریم خصوصی کاربران. SugarCoat در عین حفظ سازگاری (compatibility) امکان اجرای اسکریپت‌ها را فراهم می‌کند و مانع دسترسی اسکریپت‌ها به داده‌های خصوصی کاربران می‌شود.»

این پژوهشگران پژوهش خود را در کنفرانس کامپیوتر و امنیت ارتباطات (CCS) ارائه خواهند داد. این کنفرانس چهاردهم تا نوزدهم نوامبر سال 2021 به میزبانی انجمن ماشین‌آلات محاسباتی (ACM) در سئول، کره برگزار می‌شود.

SugarCoat

طبق توضیحات میشل اسمیت، دانشجوی مقطع دکترا و یکی از اعضای گروه تحقیقاتی استفان، «SugarCoat در ابزارهای مسدود کردن محتوا نظیر مسدود‌کننده‌های تبلیغاتی ادغام می‌شود و بدین ترتیب، این امکان را برای کاربران فراهم می‌کند، تا بدون به خطر انداختن حریم خصوصی خود، وب‌گردی کنند.»

بیشتر ابزارهای مسدودکننده محتوا تصمیماتی کلی اخذ می‌کنند؛ به عبارت دیگر، این نوع ابزارها با توجه به اینکه آیا این اسکریپت در فهرست عمومی اسکریپت‌هایی که حریم خصوصی را نقض می‌کنند، قرار دارد یا خیر، یا به طور کامل آن را مسدود می‌‌کنند یا اجازه‌ای اجرای کامل آن را می‌دهند. با وجود این، در عمل برخی از اسکریپت‌ها علاوه بر اینکه حریم خصوصی کاربران را نقض می‌کنند، برای عملکرد وب‌سایت ضروری و لازم هستند؛ بسیاری از ابزارها در مواجهه با چنین اسکریپت‌هایی استثنا قائل می‌شوند و اجازه اجرای آن‌ها را می‌دهند. درحال‌حاضر، بیش از 6000 قاعده استثنا وجود دارد که اجازه اجرای چنین اسکریپت‌هایی را می‌دهند.

در چنین شرایطی، رویکرد پیشنهادی این تیم پژوهشی منطقی‌تر به نظر می‌رسد. به بیان دیگر، به جای مسدود کردن همه اسکریپت یا اجرای کامل آن، ابزارهای مسدودکننده محتوا می‌توانند کد اصلی آن را با نسخه‌ای که به حریم خصوصی کاربران لطمه وارد نمی‌کند، جایگزین کنند. برای مثال، ابزارهای مسدودکننده محتوا به جای بارگذاری اسکریپت‌های تحلیلی و محبوب وب‌سایت‌ها که کاربران را رهگیری می‌کنند، آن‌ها را با نسخه‌های جعلی آن‌ها که ویژگی‌های مشابهی دارند، جایگزین می‌کنند. در چنین حالتی، ابزارهای مسدودکننده محتوا صفحات وب را که شامل این اسکریپت‌ها هستند، مسدود نمی‌کنند و اسکریپت‌ها نیز نمی‌توانند به داده‌های خصوصی کاربران دسترسی داشته باشند. تا به امروز، حتی متخصصان حریم خصوصی به‌صورت دستی اسکریپت‌های حفظ حریم خصوصی را با اسکریپت‌های اصلی جایگزین می‌کردند و این فرایند به کندی پیش می‌رفت. برای مثال، uBlock Origin در مقایسه با 6000 قاعده استثنا تنها 27 اسکریپت را جایگزین می‌کند.

ایجاد اسکریپت

این پژوهشگران برای رفع این خلأ SugarCoat را به دقت طراحی کرده‌اند؛ همان‌گونه که پیش از این نیز گفتیم، این ابزار به صورت خودکار اسکریپت‌هایی برای حفظ حریم خصوصی کاربران ایجاد می‌کند و آن‌ها را با اسکریپت اصلی جایگزین می‌کند. این ابزار برای رهگیری آن دسته از رفتارهای اسکریپت که حریم خصوصی را به خطر می‌اندازند، از چارچوب PageGraph استفاده می‌کند. میشل اسمیت یکی از اعضای کلیدی توسعه این چارچوب بوده است.

SugarCoat برای اطلاع از اینکه اسکریپت موردنظر چه هنگام و چگونه با APIهای Web Platform که داده‌های خصوصی کاربران را به خطر می‌اندازند، تعامل برقرار می‌کند، این داده‌ها را اسکن می‌کند. به دنبال آن، SugarCoat برای برقراری تعامل با APIهای جعلی که ایجاد کرده، کد اصلی اسکریپت را بازنویسی می‌کند. این APIها مشابه APIهای Web Platform هستند؛ اما داده‌های خصوصی را در معرض خطر قرار نمی‌دهند.

این گروه پژوهشی برای ارزیابی عملکرد و کارایی SugarCoat در Web اسکریپت‌های بازنویسی‌شده را در مرورگر Brave ادغام کردند. این پژوهشگران دریافتند SugarCoat بدون اینکه کارایی یا بارگذاری صفحه را تحت‌تأثیر قرار دهد، به بهترین نحو از داده‌های خصوصی کاربران محافظت می‌کند. SugarCoat هم‌اکنون در Brave در مرحله تولید است.

به گفته پیتر اسنایدر، پژوهشگر ارشد در حوزه حریم خصوصی و مدیر حفظ حریم خصوصی در Brave Software، «Brave مشتاق است نتایج پروژه تحقیقاتی SuagarCoat را که یک سال به طول انجامید، به کار ببندد. این ابزار قابلیت‌های قدرتمند و جدیدی برای Brave و دیگر پروژه‌های حفظ حریم خصوصی به ارمغان می‌آورد، تا به رهگیرهای آنلاین مقابله کنند و به کاربران کمک می‌کند، بر وب کنترل داشته باشند.»