新闻快讯
< >

移动广告变网络武器,定位功能可追踪目标用户

E安全10月28日讯 华盛顿大学安全隐私实验室三名研究员通过研究发现,攻击者可滥用移动广告商提供的用户定位功能追踪用户,误差距离为8米,其投入成本仅为1000美元,甚至更低。

移动广告网络被滥用实施监控

研究人员发现移动网络提供商为用户提供的定位功能太过精确,威胁攻击者可能会利用该功能搜寻目标或监控已知目标。例如,攻击者可以注册其中一项服务,并设置仅在某个特定地理区域投放广告。

由于攻击者会购买广告,之后会收到使用报告,该报告不仅会展示广告点击和显示时间,还会显示这些广告在哪些应用程序和网站上展示。

移动广告变间谍武器,定位功能可追踪目标用户-E安全

攻击者可利用这类数据推断目标的细节,例如在家的时间段、宗教信仰、身体状况等。这类数据并无法通过报告直接获取,但如果用户访问癌症诊所或在使用LGBT约会应用程序时收到广告,这类数据大多会暴露。

MAID被滥用实现高精准追踪

此类追踪场景依赖不断变化、不太精确的数据,例如地理坐标或IP地址。研究人员表示,如果攻击者发现用户的MAID(移动广告ID,每天设备均具有唯一的MAID),通过移动广告对用户追踪多次便能提升准确率。

虽然MAID并非免费提供,但研究人员认为这对攻击者而言构不成多大的障碍。威胁攻击者可拦截本地未加密的WiFi网络流量或投放带有恶意JavaScript(即使用户不点击广告也能收集MAID)的广告,在用户点击广告时发现MAID。此外,攻击者在某些情况下也许能通过各种设备规格推算出MAID。一旦攻击者获取了MAID,追踪的精准率可能提升数倍,这对投放目标广告相当有帮助。

ADINT追踪成本低廉

研究人员将这种追踪技术称之为“ADINT”,即“广告情报”,与间谍行动术语SIGINT(信号情报)和HUMINT(人工情报)类似。与间谍级别的追踪恶意软件(有些需花费数百万美元)相比,这种技术实施起来耗资相当少,仅需几千美元。

移动广告变间谍武器,定位功能可追踪目标用户-E安全

缓解措施

虽然这种问题短期内不可能消失,但广告商和用户仍可采取一系列缓解措施。

例如,广告商在审查客户方面应当更加严格,同时限制针对性广告的用户数量和位置,从而使攻击者难以准确追踪用户的位置。

同样,用户可以定期重置MAID,操作指南参见如下链接:

安卓用户:请戳

iOS用户:请戳

另一个保护措施是启用广告拦截软件。研究人员表示,在线广告生态系统存在“冲突”:精准的定位功能本是为了合法的商业目的而开发,而此项功能同样也为攻击者所利用。广告商一方面要提供针对性更强的广告,但精准度的提升却强化了ADINT能力。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。