任何人都可以購買在線廣告來跟蹤您的位置和應用使用情況

長期以來，隱私問題一直圍繞著網(wǎng)絡廣告網(wǎng)絡收集的有關人們?yōu)g覽，購買和社交媒體習慣的信息 - 通常是為了向您推銷某些內(nèi)容。

但有人可以使用移動廣告來了解你去哪兒喝咖啡嗎?一個竊賊可以建立一個虛假的公司，并在你離開家時向你的手機發(fā)送廣告嗎?一個可疑的雇主可以看看你是否在工作時間使用購物應用程序?

答案是肯定的，至少在理論上是這樣。華盛頓研究的新大學，將在提交論文 10月30日在美國計算機協(xié)會的研討會在電子學會隱私，表明了大約$ 1,000，有人用不正當?shù)囊鈭D可以購買和目標在線廣告的方式，讓他們跟蹤其他人的位置并了解他們正在使用的應用程序。

“從外國情報人員到嫉妒的配偶的任何人都可以很容易地與一家大型互聯(lián)網(wǎng)廣告公司簽約，并且在相當適度的預算中使用這些生態(tài)系統(tǒng)來追蹤另一個人的行為，”主要作者Paul Vines說，他是最近的博士生。威斯康星大學的Paul G. Allen計算機科學與工程學院。

該研究小組著手測試對手是否可以利用現(xiàn)有的在線廣告基礎設施進行個人監(jiān)控，如果是，則提高行業(yè)對威脅的認識。

“因為我們所做的事情很容易，我們認為這是在線廣告業(yè)需要考慮的問題，”聯(lián)合作者，UW安全與隱私研究實驗室聯(lián)合主任Franzi Roesner說道。艾倫學校的助理教授。“我們正在分享我們的發(fā)現(xiàn)，以便廣告網(wǎng)絡可以嘗試檢測和減輕這些類型的攻擊，從而可以廣泛地公開討論我們作為一個社會如何試圖阻止它們。”

研究人員發(fā)現(xiàn)，在某些情況下，個人廣告購買者可以看到一個人何時訪問預定的敏感位置 - 某個事件的可疑會合點，風險資本家可能感興趣的公司的辦公室或某人的醫(yī)院可能正在接受治療 - 在該人到達的10分鐘內(nèi)。通過向目標手機提供基于位置的廣告，他們還能夠在早上通勤期間跟蹤一個人在整個城市的移動情況。

該團隊還發(fā)現(xiàn)，購買廣告的個人可以看到他們的目標使用的應用類型。這可能會泄露有關個人利益，約會習慣，宗教信仰，健康狀況，政治傾向和其他潛在敏感或私人信息的信息。

想要監(jiān)視一個人的動作的人首先需要學習目標移動電話的移動廣告ID(MAID)。這些唯一標識符可幫助營銷人員根據(jù)個人興趣量身定制廣告，只要用戶點擊移動廣告，就會向廣告客戶和其他多方發(fā)送廣告。也可以通過竊聽該人正在使用的不安全的無線網(wǎng)絡或通過臨時訪問他或她的WiFi路由器來獲得人的MAID。

UW團隊證明，廣告服務的客戶可以通過該服務購買大量超本地廣告，只有當其所有者在特定地點打開應用時才會將其投放到該特定電話。通過設置這些基于位置的廣告的網(wǎng)格，對手可以跟蹤目標的移動，如果他或她已經(jīng)打開一個應用程序并且保持在一個足夠長的位置以便提供廣告 - 通常大約四分鐘，該團隊發(fā)現(xiàn)。

重要的是，目標不必點擊廣告或與廣告互動 - 購買者可以看到廣告的投放位置，并使用該信息通過空間跟蹤目標。在團隊的實驗中，他們能夠在大約8米內(nèi)確定一個人的位置。

“老實說，我對這是多么有效感到震驚，”共同作者，艾倫學校教授Tadayoshi Kohno說，他研究過汽車和醫(yī)療設備等產(chǎn)品的安全漏洞。“我們做了這項研究，以便更好地了解在線廣告的隱私風險。隨著廣告客戶越來越有能力定位和跟蹤人們提供更好的廣告，這是一個根本的緊張局勢，對手也有機會開始利用這種額外的精確度。了解技術的好處和風險非常重要。“

個人可能會破壞UW團隊通過頻繁重置手機中的移動廣告ID所展示的簡單類型的基于位置的攻擊 - 這是許多智能手機現(xiàn)在提供的功能。研究人員表示，在個人應用設置中禁用位置跟蹤可能會有所幫助，但廣告商仍有可能以其他方式獲取位置數(shù)據(jù)。

研究人員表示，在行業(yè)方面，移動和在線廣告商可以通過拒絕僅針對少數(shù)設備或個人的廣告購買來幫助阻止這類攻擊。他們還可以開發(fā)和部署機器學習工具，以區(qū)分正常的廣告模式和看起來更像個人監(jiān)控的可疑廣告行為。