Но кто-то мог использовать мобильную рекламу, чтобы изучить, куда Вы идете для кофе? Грабитель мог основать фиктивную компанию и послать объявления в Ваш телефон, чтобы изучить, когда Вы покидаете дом? Подозрительный работодатель мог видеть, используете ли Вы приложения покупок на рабочем времени?
Ответ да, по крайней мере в теории. Новое исследование Вашингтонского университета, которое будет представлено 30 октября на Семинаре Ассоциации вычислительной техники по Частной жизни в Электронном Обществе, предполагает, что примерно за 1 000$, кто-то с окольным намерением может купить и нацелен на интернет-рекламу способами, которые позволяют им отслеживать местоположение других людей и изучать, какие приложения они используют.
«Любой от агента внешней разведки ревнивому супругу может довольно легко подписаться с крупным интернет-рекламным агентством, и на довольно скромном бюджете используют эти экосистемы, чтобы отследить поведение другого человека», сказал ведущий автор Пол Вайнс, недавний докторский выпускник в Школе Пола Г. Аллена UW Информатики & Разработки.Исследовательская группа намеревалась проверять, мог ли бы противник эксплуатировать существующую инфраструктуру интернет-рекламы для личного наблюдения и, если так, повысить промышленную осведомленность об угрозе.«Поскольку было настолько легко сделать то, что мы сделали, мы полагаем, что это – проблема, о которой должна думать промышленность интернет-рекламы», сказал соавтор Фрэнзи Роеснер, соруководитель подводной научно-исследовательской лаборатории безопасности и Частной жизни и доцент в Школе Аллена. «Мы разделяем наши открытия так, чтобы рекламные сети могли попытаться обнаружить и смягчить эти типы нападений, и так, чтобы могла быть широкая общественная дискуссия о том, как мы как общество могли бы попытаться предотвратить их».Исследователи обнаружили, что отдельный покупатель объявления, при определенных обстоятельствах, может видеть, когда человек посещает предопределенное чувствительное местоположение – подозреваемое место рандеву для дела, офиса компании, что венчурный капиталист мог бы интересоваться или больница, где кто-то мог бы проходить лечение – в течение 10 минут после прибытия того человека.
Они также смогли отследить движения человека по городу во время утренней поездки на работу, вручив основанные на местоположении объявления телефону цели.Команда также обнаружила, что люди, которые покупают объявления, видели, какие типы приложений их цель использовала. Это могло потенциально обнародовать информацию об интересах человека, датировав привычки, религиозную принадлежность, санитарные условия, политические склонности и другую потенциально чувствительную или частную информацию.Кто-то, кто хочет к surveil движения человека сначала, должен изучить мобильный рекламный ID (ДЕВИЦА) для мобильного телефона цели.
Эти уникальные идентификаторы, которые помогают маркетологам вручить объявления, скроенные интересам человека, посылают в рекламодателя и много других сторон каждый раз, когда человек нажимает на мобильное объявление. ГОРНИЧНАЯ человека также могла быть получена, подслушав необеспеченную беспроводную сеть, которую человек использует или получая временный доступ к его или ее маршрутизатору WiFi.Подводная команда продемонстрировала, что клиенты рекламных услуг могут купить много гиперместных объявлений через то обслуживание, которое будет только подаваться тому конкретному телефону, когда его владелец откроет приложение в конкретном месте.
Настраивая сетку этих основанных на местоположении объявлений, противник может отследить движения цели, если он или она открыл приложение и остается в месте достаточно долго для объявления обслуживаться – как правило, приблизительно четыре минуты, найденная команда.Значительно, цель не должна нажимать или сотрудничать с объявлением – покупатель видит, где объявления вручаются и используют ту информацию, чтобы отследить цель через пространство. В экспериментах команды они смогли точно определить местоположение человека приблизительно в 8 метрах.«Чтобы быть очень честным, я был потрясен в том, насколько эффективный это было», сказал соавтор Тэдайоши Коно, преподаватель Школы Аллена, который изучил слабые места безопасности в продуктах в пределах от автомобилей к медицинским устройствам. «Мы провели это исследование, чтобы лучше понять, что частная жизнь рискует с интернет-рекламой.
Есть основная напряженность, что, поскольку рекламодатели становятся более способными к планированию и отслеживанию людей, чтобы поставить лучшие объявления, есть также возможность для противников начать эксплуатировать ту дополнительную точность. Это важно понять и преимущества и рискует с технологиями».Человек мог потенциально разрушить простые типы основанных на местоположении нападений, которые подводная команда продемонстрировала, часто перезагружая мобильные рекламные ID в их телефонах – особенность, которую теперь предлагают много смартфонов. Выведение из строя отслеживания местоположения в рамках отдельных параметров настройки приложения могло помочь, исследователи сказали, но рекламодатели все еще могут быть способны к сбору урожая данных о местоположении другими способами.
На промышленной стороне мобильные и рекламодатели онлайн могли помочь мешать этим типам нападений, отклонив объявление, покупает ту цель только небольшое количество устройств или людей, сказали исследователи. Они также могли разработать и развернуть инструменты машинного обучения, чтобы различать нормальные рекламные образцы и подозрительное рекламное поведение, которое больше походит на личное наблюдение.Подводная научно-исследовательская лаборатория безопасности и Частной жизни – лидер в оценке потенциальных угроз безопасности в появляющихся технологиях, включая телематику в автомобилях, веб-браузерах, программном обеспечении упорядочивающего ДНК и дополненной реальности, прежде чем они смогут эксплуатироваться подлецами.
Следующие шаги для команды включают работу с экспертами в Tech Policy Lab UW, чтобы исследовать юридические вопросы и вопросы политики, поднятые этой новой формой потенциального сбора информации.Исследование финансировалось Национальным научным фондом, Tech Policy Lab и Коротким-Dooley Профессорством.