Но может ли кто-нибудь использовать мобильную рекламу, чтобы узнать, куда вы идете выпить кофе? Может ли грабитель создать фиктивную компанию и отправлять на ваш телефон рекламу, чтобы узнать, когда вы выходите из дома? Может ли подозрительный работодатель узнать, используете ли вы приложения для покупок в рабочее время?Ответ — да, по крайней мере, теоретически.
Новое исследование Вашингтонского университета, которое будет представлено 30 октября на семинаре Ассоциации вычислительной техники по конфиденциальности в электронном обществе, предполагает, что примерно за 1000 долларов кто-то с коварными намерениями может покупать и настраивать таргетинг на онлайн-рекламу способами, которые позволяют отслеживать местонахождение других людей и узнайте, какие приложения они используют.«Любой, от агента внешней разведки до ревнивого супруга, может довольно легко зарегистрироваться в крупной рекламной компании в Интернете и при довольно скромном бюджете использовать эти экосистемы для отслеживания поведения другого человека», — сказал ведущий автор Пол Вайнс, недавний аспирант Школа компьютерных наук им. Пола Г. Аллена в UW Инженерное дело.Исследовательская группа намеревалась проверить, может ли злоумышленник использовать существующую инфраструктуру онлайн-рекламы для личного наблюдения и, если да, повысить осведомленность отрасли об угрозе.
«Поскольку сделать то, что мы сделали, было так просто, мы считаем, что это проблема, о которой следует задуматься индустрии онлайн-рекламы», — сказал соавтор Франци Рознер, содиректор Лаборатории исследования безопасности и конфиденциальности UW и доцент в школе Аллена. «Мы делимся своими открытиями, чтобы рекламные сети могли попытаться обнаружить и смягчить эти типы атак, и чтобы можно было провести широкую общественную дискуссию о том, как мы, как общество, можем попытаться предотвратить их».Исследователи обнаружили, что отдельный покупатель рекламы может при определенных обстоятельствах видеть, когда человек посещает заранее определенное чувствительное место — предполагаемое место встречи для дела, офис компании, в которой может быть заинтересован венчурный капиталист, или больницу, где кто-то может получать лечение — в течение 10 минут после прибытия этого человека. Они также могли отслеживать передвижения людей по городу во время утренних поездок, подавая на телефон цели объявления с привязкой к местоположению.
Команда также обнаружила, что люди, покупающие рекламу, могут видеть, какие типы приложений использует их цель. Это может потенциально раскрыть информацию об интересах человека, привычках свиданий, религиозной принадлежности, состоянии здоровья, политических взглядах и другую потенциально конфиденциальную или частную информацию.Тот, кто хочет наблюдать за передвижениями человека, сначала должен узнать идентификатор мобильной рекламы (MAID) для мобильного телефона цели.
Эти уникальные идентификаторы, которые помогают маркетологам показывать рекламу с учетом интересов человека, отправляются рекламодателю и ряду других сторон всякий раз, когда человек нажимает на мобильную рекламу. MAID человека также может быть получен путем прослушивания незащищенной беспроводной сети, которую использует человек, или путем получения временного доступа к его или ее маршрутизатору Wi-Fi.Команда UW продемонстрировала, что клиенты рекламных услуг могут приобретать через этот сервис ряд гиперлокальных объявлений, которые будут показываться на конкретный телефон только тогда, когда его владелец откроет приложение в определенном месте. Настроив сетку этих объявлений на основе местоположения, злоумышленник может отслеживать движения цели, если он или она открыли приложение и остается в этом месте достаточно долго для показа рекламы — обычно около четырех минут, как выяснила группа специалистов. .Важно отметить, что цель не должна нажимать на рекламу или взаимодействовать с ней — покупатель может видеть, где показываются объявления, и использовать эту информацию для отслеживания цели в пространстве.
В экспериментах команды им удалось определить местонахождение человека в пределах 8 метров.«Честно говоря, я был шокирован тем, насколько это было эффективно», — сказал соавтор Тадаёши Коно, профессор школы Аллена, изучавший уязвимости безопасности в самых разных продуктах, от автомобилей до медицинских устройств. «Мы провели это исследование, чтобы лучше понять риски конфиденциальности, связанные с онлайн-рекламой.
Существует фундаментальная напряженность в том, что по мере того, как рекламодатели становятся более способными таргетировать и отслеживать людей для предоставления более качественной рекламы, у злоумышленников также появляется возможность начать использовать эту дополнительную точность. важно понимать как преимущества, так и риски, связанные с технологиями ».Человек может потенциально нарушить простые типы атак на основе местоположения, которые продемонстрировала команда UW, часто сбрасывая идентификаторы мобильной рекламы в своих телефонах — функцию, которую теперь предлагают многие смартфоны. По словам исследователей, отключение отслеживания местоположения в настройках отдельных приложений может помочь, но рекламодатели могут собирать данные о местоположении и другими способами.По словам исследователей, в отрасли мобильные и онлайн-рекламодатели могут помочь предотвратить подобные атаки, отклонив покупку рекламы, нацеленной только на небольшое количество устройств или отдельных лиц.
Они также могут разрабатывать и развертывать инструменты машинного обучения, чтобы различать обычные рекламные шаблоны и подозрительное рекламное поведение, которое больше похоже на личную слежку.Лаборатория исследований безопасности и конфиденциальности UW является лидером в оценке потенциальных угроз безопасности в новых технологиях, включая телематику в автомобилях, веб-браузеры, программное обеспечение для секвенирования ДНК и дополненную реальность, прежде чем они могут быть использованы злоумышленниками.
Следующие шаги команды включают работу с экспертами Лаборатории технической политики UW для изучения юридических и политических вопросов, возникающих в связи с этой новой формой потенциального сбора разведывательной информации.Исследование финансировалось Национальным научным фондом, Лабораторией технической политики и Профессорством Шорт-Дули.