КонфиденциальностьНовости

Как дешевая мобильная реклама сообщает хакерам о вашем местоположении

Геолокационная мобильная реклама может использоваться в качестве недорогого шпионского инструмента для отслеживания и определения местонахождения отдельных лиц или групп людей, заявил исследователь безопасности на конференции по безопасности DerbyCon в Луисвилле, штат Кентукки, в начале этого месяца.

«Мы создали открытую экосистему ставок на размещение рекламы на основе геолокации и другой конфиденциальной информации, и ее можно использовать для наблюдения», — сказал Марк Милхаус , разработчик программного обеспечения из чикагского образовательного стартапа.

По словам Милхауса, в работе , проделанной другими исследователями в 2017 году, использовалась мобильная реклама, чтобы узнать, когда конкретный человек находится в определенном месте. Но этот метод стоил около 1000 долларов за цель: слишком дорого для большинства преступников. Милхаус сказал, что разработал более дешевый метод, используя существующие сети мобильной рекламы и инструменты геолокации, которые есть в большинстве смартфонов.

«Всего на мое исследование ушло около 100 долларов, — сказал Милхаус. «Вероятно, вы могли бы сделать одного человека за 5 долларов».

БОЛЬШЕ: 15 лучших расширений конфиденциальности Google Chrome

Как избежать отслеживания местоположения рекламой

Как пользователь смартфона, вы можете уменьшить вероятность отслеживания местоположения с помощью мобильной рекламы, отключив службы определения местоположения на своем телефоне, когда вы ими не пользуетесь.

Но это не помешает рекламе использовать данные, собранные за предыдущий период, когда службы определения местоположения были активированы, сказал Милхаус. Эти более ранние данные все еще были бы полезны, если бы они указывали на ваш распорядок дня.

«Это может быть устаревшая информация, — сказал Милхаус, — но если эти устаревшие данные включают ваш дом, то они все еще могут быть ценными».

По словам Милхауса, вы также можете периодически сбрасывать рекламные идентификаторы , которые Apple и Google присваивают вашему устройству. (Эти идентификаторы предназначены для того, чтобы скрыть вашу настоящую личность от рекламодателей, но, очевидно, они не очень хорошо справляются со своей задачей.) Идентификатор рекламы Google работает только в приложениях Google Play Store; неопубликованные приложения играют по другим правилам. Вы также можете использовать блокировщики рекламы или скриптов для мобильных браузеров, но не для автономных приложений.

По словам Милхауса, реальным решением этой проблемы было бы признание того, что саморегулирование рекламной индустрии не смогло защитить конфиденциальность пользователей. Он сказал, что для ограничения сбора и использования данных о местонахождении смартфонов может потребоваться государственное законодательство и регулирование.

Как отследить человека с ограниченным бюджетом

По словам Милхауса, для эффективного отслеживания отдельных лиц или групп людей с помощью мобильной рекламы необходимо объединить несколько элементов.

Во-первых, как злоумышленник, вы должны знать одно или несколько мест, которые часто посещает цель, например рабочее место. Вы можете настроить геотаргетинг объявлений на эти местоположения, указав, что места размещения мобильной рекламы, которые вы покупаете в рекламных сетях, должны появляться только на телефонах, которые находятся в определенных местах в определенное время.

«Если вы сообразительный преступник, вы можете настроить таргетинг рекламы на местную штаб-квартиру ФБР», — сказал Милхаус, а затем использовать эти данные, чтобы «вызывать тревогу, когда один из этих идентификаторов появляется за пределами вашего дома».

Затем вы должны разработать рекламу и добавить пиксель отслеживания в каждое объявление. Пиксель отслеживания получает информацию от каждого устройства, на котором отображается реклама: марка и модель устройства, оператор мобильной связи, приложения, установленные на устройстве, приложение, в котором отображается реклама, состояние батареи устройства и, что наиболее важно, , местоположение устройства и его рекламный идентификатор Apple или Google. Ничто из этого не требует от пользователя телефона фактического нажатия на объявление.

Затем пришло время покупать рекламные места для ваших объявлений с таргетингом на определенные места и время. Милхаус использовал дешевые российские рекламные сети, но даже эти компании отклонили его первые объявления как слишком подозрительные. Ему нужно было создать «правдоподобную» и «скучную» рекламу, а также веб-сайт, на который по рекламе попадал бы любой кликнувший по ней пользователь.

Сохранить пиццу

Рекламная кампания Милхауса называлась «Спасите пиццу» и приводила вас на одностраничный веб-сайт с часами обратного отсчета и бессмысленным слоганом. Его реклама была показана почти на 100 000 телефонов, хотя Милхаус потратил всего 40 долларов. Не каждый телефон давал Милхаусу полезные данные о местоположении, но у него было достаточно для работы.

«Я показывал эту [рекламу] на некоторых [хакерских] конференциях, — сказал Милхаус аудитории DerbyCon, — так что, если какая-то из них покажется вам знакомой, это все объясняет».

Милхаус использовал собранные данные для «отпечатков пальцев» отдельных телефонов и создания максимально уникальных и подробных профилей.

БОЛЬШЕ: Сохраняйте конфиденциальность в пути с лучшими мобильными VPN-приложениями

Сделав это, вы можете попытаться найти конкретных людей и сопоставить им идентификаторы объявлений. По словам Милхауса, вы можете перечислить все известные привычные места для конкретного человека — школа, дом, работа, церковь — а затем купить рекламные места, ориентированные на эти места.

«Каждый, кто совпадет со всеми этими разными местоположениями, будет подозреваемым», — сказал Милхаус, и вы могли сузить список по мере сбора дополнительных данных. «В конце концов, у вас есть один человек, и этот идентификатор устройства вы можете использовать, чтобы следить за этим человеком, пока это устройство остается с ним».

Экскурсия по достопримечательностям Чикаго

Милхаус не тестировал свой метод в массовом порядке, но исследование Массачусетского технологического института 2013 года , в котором Милхаус не участвовал, показало 95-процентную точность сопоставления профилей устройств с конкретными людьми просто путем сопоставления четырех разных точек данных геолокации, собираемых ежечасно с вышек сотовой связи. Метод Милхауса собирает гораздо больше данных.

Это не совсем идеальная система. Милхаус обнаружил, что он и его коллега поделились «отпечатками пальцев» одного устройства, потому что они работали в одном месте и имели iPhone одной модели и конфигурации.

По словам Милхауса, геолокационное отслеживание рекламы более точно для телефонов Android, чем для iPhone, как из-за большего разнообразия марок и моделей, так и потому, что приложения для Android просто позволяют собирать больше данных, чем приложения для iOS.

Милхаус использовал телефон Android, чтобы отслеживать вымышленную версию самого себя, и показывал слайды, на которых его реклама отслеживала его через Чикаго.

Его «дом» был обозначен как блиндаж домашней команды на Ригли Филд, а его «рабочим местом» было здание Chicago Merchandise Mart. Объявления с отслеживанием показали, что он провел много времени в обоих местах, а также что он ходил на пляж Огайо-стрит и в зоопарк Линкольн-парка.

По словам Милхауса, чтобы разрешить кошмар конфиденциальности, который создает реклама с геолокацией, необходимо ввести новые правила для рекламных сетей и разработчиков приложений. Он предположил, что для iOS и Android могут потребоваться отдельные разрешения для объявлений с геотаргетингом, и что пользователям будет предоставлена ​​возможность отклонять их.

«Это реальная проблема, которая затрагивает каждого члена цифрового общества, — сказал Милхаус, — и она не улучшится».

Похожие посты
НовостиСмартфоны

iPhone SE Plus — все, что мы знаем на данный момент

НовостиПотоковое

Как смотреть Отряд самоубийц онлайн сегодня

ИгрыНовости

Resident Evil Village — это не просто продолжение, это вторая глава трилогии.

НовостиУмный Дом

Стоит ли покупать робот-пылесос Shark IQ R101?

Sign up for our Newsletter and
stay informed
[mc4wp_form id="14"]

Добавить комментарий

Ваш адрес email не будет опубликован.