Но может ли кто-нибудь использовать мобильную рекламу, чтобы узнать, куда вы идете выпить кофе? Может ли грабитель создать фиктивную компанию и отправлять на ваш телефон рекламу, чтобы узнать, когда вы выходите из дома? Может ли подозрительный работодатель узнать, используете ли вы приложения для покупок в рабочее время?
Ответ - да, по крайней мере, теоретически. Новый университет исследований в Вашингтоне , который будет представлен в документе 30 октября в Ассоциации вычислительной техники в семинар по конфиденциальности в электронном обществе , свидетельствует о том , что примерно за $ 1000, кто-то с хитрой покупкой намерения может и целевую рекламу в Интернете таким образом , что позволяет им чтобы отслеживать местоположение других людей и узнавать, какие приложения они используют.
«Любой, от агента иностранной разведки до ревнивого супруга, может довольно легко зарегистрироваться в крупной рекламной компании в Интернете и при небольшом бюджете использовать эти экосистемы для отслеживания поведения другого человека», - сказал ведущий автор Пол Вайнс, недавний аспирант Школы компьютерных наук и инженерии Пола Г. Аллена в UW.
Исследовательская группа намеревалась проверить, может ли злоумышленник использовать существующую инфраструктуру онлайн-рекламы для личного наблюдения и, если да, повысить осведомленность отрасли об угрозе.
Исследователи обнаружили, что отдельный покупатель рекламы может при определенных обстоятельствах видеть, когда человек посещает заранее определенное чувствительное место - предполагаемое место встречи для дела, офис компании, в которой может быть заинтересован венчурный капиталист, или больницу, где кто-то может получать лечение - в течение 10 минут после прибытия этого человека. Они также могли отслеживать передвижения людей по городу во время утренних поездок, подавая на телефон цели объявления с привязкой к местоположению.
Команда также обнаружила, что люди, покупающие рекламу, могут видеть, какие типы приложений использует их цель. Это может потенциально раскрыть информацию об интересах человека, привычках свиданий, религиозной принадлежности, состоянии здоровья, политических взглядах и другую потенциально конфиденциальную или частную информацию.
Тот, кто хочет наблюдать за передвижениями человека, сначала должен узнать идентификатор мобильной рекламы (MAID) для мобильного телефона цели. Эти уникальные идентификаторы, которые помогают маркетологам показывать рекламу с учетом интересов человека, отправляются рекламодателю и ряду других сторон всякий раз, когда человек нажимает на мобильную рекламу. MAID человека также может быть получен путем прослушивания незащищенной беспроводной сети, которую использует человек, или путем получения временного доступа к его или ее маршрутизатору Wi-Fi.
Команда UW продемонстрировала, что клиенты рекламных услуг могут приобретать через этот сервис ряд гиперлокальных объявлений, которые будут показываться на конкретный телефон только тогда, когда его владелец откроет приложение в определенном месте. Настроив сетку этих объявлений на основе местоположения, злоумышленник может отслеживать движения цели, если он или она открыл приложение и остается в этом месте достаточно долго для показа рекламы - обычно около четырех минут, как выяснила команда.
Важно отметить, что цель не должна нажимать на рекламу или взаимодействовать с ней - покупатель может видеть, где показываются объявления, и использовать эту информацию для отслеживания цели в пространстве. В экспериментах команды им удалось определить местонахождение человека в пределах 8 метров.
«Честно говоря, я был шокирован тем, насколько это было эффективно», - сказал соавтор Тадаёши Коно , профессор школы Аллена, изучавший уязвимости безопасности в самых разных продуктах, от автомобилей до медицинских устройств. «Мы провели это исследование, чтобы лучше понять риски конфиденциальности, связанные с интернет-рекламой. Существует фундаментальная напряженность в том, что по мере того, как рекламодатели становятся более способными нацеливать и отслеживать людей для предоставления более качественной рекламы, у злоумышленников также появляется возможность начать использовать эту дополнительную точность. Важно понимать как преимущества, так и риски, связанные с технологиями».
Человек может потенциально нарушить простые типы атак на основе местоположения, которые продемонстрировала команда UW, часто сбрасывая идентификаторы мобильной рекламы в своих телефонах - функцию, которую теперь предлагают многие смартфоны. По словам исследователей, отключение отслеживания местоположения в настройках отдельных приложений может помочь, но рекламодатели по-прежнему могут собирать данные о местоположении другими способами.
По словам исследователей, в отрасли мобильные и онлайн-рекламодатели могут помочь предотвратить подобные атаки, отказавшись от покупки рекламы, ориентированной только на небольшое количество устройств или отдельных лиц. Они также могут разрабатывать и развертывать инструменты машинного обучения, чтобы различать обычные рекламные шаблоны и подозрительное рекламное поведение, которое больше похоже на личное наблюдение.
Источник [Пост переведен гугл переводчиком]