Unbundle-Rewrite-Rebundle: Runtime Detection and Rewriting of Privacy-Harming Code in JavaScript Bundles

本研究提出了一种名为Unbundle-Rewrite-Rebundle (URR)的系统，用于检测损害隐私的JavaScript代码捆绑部分，并在运行时重写该代码，以消除损害隐私的行为，同时不影响周围的代码或整个应用程序。URR是解决JavaScript捆绑问题的一种新颖解决方案，其中网站将多个代码单元预编译为单个文件，使得内容过滤器和广告拦截器无法区分所需和不需要的资源。传统的内容过滤工具依赖于URL，而URR在AST级别分析代码，并用维护隐私和功能性的替代方案替换有害的AST子树。我们提供了一个开源的URR实现作为Firefox扩展，并在Tranco 10k上评估了它对最流行的捆绑系统(Webpack)生成的JavaScript捆绑包的效果。我们测量了性能，即精确度(1.00)、召回率(0.95)和速度(每个脚本0.43秒)，当检测和重写三个常常包含在JavaScript捆绑包中的代表性损害隐私库时，发现URR是解决当前隐私工具未解决的一个大而不断增长的盲点的有效方法。

解决问题：该论文旨在解决JavaScript bundles中难以区分所需和不需要资源的问题，提出了一种称为URR的系统来检测具有隐私危害的JavaScript代码，并在运行时重写该代码以消除隐私危害行为。

关键思路：该论文的关键思路是在AST级别分析JavaScript代码，将有害AST子树替换为维护隐私和功能的替代品，从而实现检测和重写隐私危害代码的目的。

其他亮点：该论文开源了URR的实现作为Firefox扩展，并在Tranco 10k上评估了其性能。实验结果表明，在检测和重写常见的三个隐私危害库方面，URR的性能表现良好，具有高精度（1.00）和召回率（0.95），以及较快的速度（每个脚本0.43秒）。该论文提出的URR系统是当前隐私工具未解决的一个盲点问题的有效解决方案。

相关研究：最近的相关研究包括基于URL的传统内容过滤器和广告拦截器，以及其他一些针对JavaScript bundles的检测和防御方法，如JavaScript沙箱和代码混淆。