新闻快讯
< >

华盛顿大学发现,移动广告可被“武器化”, 用以跟踪目标人物

移动广告商提供的广告客户定位功能可能会被滥用,其定位的准确度可以高达误差仅为8米,而要实现这个功能所需的投入仅为1000美元,甚至更少。

这些是华盛顿大学安全和隐私实验室的三位研究人员针对移动广告景观综合研究得出的一些结论。

华盛顿大学发现,移动广告可被“武器化”, 用以跟踪目标人物-E安全

定位功能可能会被滥用

研究人员发现,移动网络为用户提供了精确的定位能力,攻击者可能会滥用这个功能来搜寻适合攻击的目标人物或者监控已知的目标。

例如,攻击者可以注册广告投放服务,并设置仅将广告投放到某个特定地理区域,例如当地的某个住宅小区。

而此类广告投放服务,通常会向使用者反馈使用情况报告。这些报告不仅会展示广告被点击的时间,还会展示这些广告在什么应用程序、网站中被显示。

攻击者可以利用这种数据来推断有关目标人物的各种细节,例如何时在家、宗教信仰是什么,拥有何种医疗条件等等。

MAID可被用于高精度跟踪

“使用广告进行位置跟踪的第一步发掘目标人物的网络流量来获得MAID(移动广告ID),这允许我们只给指定的设备提供广告。”研究人员解释说。“然后我们创建一系列广告,每个广告都针对这个MAID,但是每个广告都针对一个不同的GPS定位。这创建了一个类似于地理网格的广告模式。然后我们可以观察到这些广告中的哪一个得到了服务,也就获得了目标人物的实际所在。”

虽然,MAID并不是免费提供的,但研究人员认为这并不能成为攻击者的障碍。

攻击者可以在目标人物点击广告时,截取本地未加密的WiFi网络流量时发现其MAID,或者通过使用收集MAID的恶意JavaScript脚本嵌入在投放的广告中,即使目标人物没有点击这些广告,同样可以获取到其MAID。此外,在某些情况下,如果攻击者能够访问各种设备规范,他们也可通过自己计算出MAID。

一旦攻击者拥有了MAID,其跟踪能力的准确性可以提高数倍,这就使得投放更具针对性的广告成为可能。

ADINT跟踪成本很低

研究人员将这种跟踪技术称为“ADINT”,类似于SIGINT(信号情报)和HUMINT(人力情报),这两个技术被用于现实世界中的间谍活动。

此外,与其他间谍跟踪恶意软件相比,ADINT显得十分便宜,成本只有几千美元,但有时造成的损失却可以高达数百万美元。

华盛顿大学发现,移动广告可被“武器化”, 用以跟踪目标人物-E安全

这个问题不太可能在短期内消失。尽管如此,广告服务提供商依然可以采取一些措施来缓解它。例如,在审核广告服务申请者方面可以做得更加严谨,同时还可以确保有针对性的广告只能被投放到人员数量较少的位置区域,从而使攻击者难以准确跟踪个人位置。

对于广告客户来说,可以通过定期重置MAID来避免受到侵害。读者可以通过以下两个链接查看重置MAID的具体方法:

安卓:http://www.tomsguide.com/faq/id-2316491/reset-google-advertising-android.html

苹果:https://support.apple.com/en-us/HT205223

研究人员说:“在线广告生态系统中存在一个矛盾体:精确定位功能原本是为了合法的商业目的而开发的,以便能够有针对性向广告客户投放广告。但是,瞄准精度的提高却无形中增强了ADINT功能。”