移動廣告商提供的廣告客戶定位功能可能會被濫用,其定位的準確度可以高達誤差僅為8米,而要實現(xiàn)這個功能所需的投入僅為1000美元,甚至更少。
這些是華盛頓大學安全和隱私實驗室的三位研究人員針對移動廣告景觀綜合研究得出的一些結論。
定位功能可能會被濫用
研究人員發(fā)現(xiàn),移動網絡為用戶提供了精確的定位能力,攻擊者可能會濫用這個功能來搜尋適合攻擊的目標人物或者監(jiān)控已知的目標。
例如,攻擊者可以注冊廣告投放服務,并設置僅將廣告投放到某個特定地理區(qū)域,例如當?shù)氐哪硞€住宅小區(qū)。
而此類廣告投放服務,通常會向使用者反饋使用情況報告。這些報告不僅會展示廣告被點擊的時間,還會展示這些廣告在什么應用程序、網站中被顯示。
攻擊者可以利用這種數(shù)據(jù)來推斷有關目標人物的各種細節(jié),例如何時在家、宗教信仰是什么,擁有何種醫(yī)療條件等等。
MAID可被用于高精度跟蹤“使用廣告進行位置跟蹤的第一步發(fā)掘目標人物的網絡流量來獲得MAID(移動廣告ID),這允許我們只給指定的設備提供廣告。”研究人員解釋說。“然后我們創(chuàng)建一系列廣告,每個廣告都針對這個MAID,但是每個廣告都針對一個不同的GPS定位。這創(chuàng)建了一個類似于地理網格的廣告模式。然后我們可以觀察到這些廣告中的哪一個得到了服務,也就獲得了目標人物的實際所在。”
雖然,MAID并不是免費提供的,但研究人員認為這并不能成為攻擊者的障礙。
攻擊者可以在目標人物點擊廣告時,截取本地未加密的WiFi網絡流量時發(fā)現(xiàn)其MAID,或者通過使用收集MAID的惡意JavaScript腳本嵌入在投放的廣告中,即使目標人物沒有點擊這些廣告,同樣可以獲取到其MAID。此外,在某些情況下,如果攻擊者能夠訪問各種設備規(guī)范,他們也可通過自己計算出MAID。
一旦攻擊者擁有了MAID,其跟蹤能力的準確性可以提高數(shù)倍,這就使得投放更具針對性的廣告成為可能。
ADINT跟蹤成本很低研究人員將這種跟蹤技術稱為“ADINT”,類似于SIGINT(信號情報)和HUMINT(人力情報),這兩個技術被用于現(xiàn)實世界中的間諜活動。
此外,與其他間諜跟蹤惡意軟件相比,ADINT顯得十分便宜,成本只有幾千美元,但有時造成的損失卻可以高達數(shù)百萬美元。
這個問題不太可能在短期內消失。盡管如此,廣告服務提供商依然可以采取一些措施來緩解它。例如,在審核廣告服務申請者方面可以做得更加嚴謹,同時還可以確保有針對性的廣告只能被投放到人員數(shù)量較少的位置區(qū)域,從而使攻擊者難以準確跟蹤個人位置。
對于廣告客戶來說,可以通過定期重置MAID來避免受到侵害。讀者可以通過以下兩個鏈接查看重置MAID的具體方法:
安卓:http://www.tomsguide.com/faq/id-2316491/reset-google-advertising-android.html
蘋果:https://support.apple.com/en-us/HT205223
研究人員說:“在線廣告生態(tài)系統(tǒng)中存在一個矛盾體:精確定位功能原本是為了合法的商業(yè)目的而開發(fā)的,以便能夠有針對性向廣告客戶投放廣告。但是,瞄準精度的提高卻無形中增強了ADINT功能。
京公網安備 11010502049343號