Обычный человек может при определенных условиях отслеживать перемещения и получить другие личные данные потребителя через размещение рекламных объявлений, отображаемых приложениями на смартфоне.
Это продемонстрировали исследователи из Вашингтонского университета в своем исследовании, которое будет представлено на конференции WPES 2017 30 октября.
Для отслеживания показов рекламных объявлений, таргетированной рекламы и однозначной идентификации устройств используется специальные идентификаторы. Такие идентификаторы позволяют показывать рекламу не всем пользователям, а только тем, кому может быть интересна тема рекламного объявления. Стоит отметить, что в реальности крупные рекламные сети получают много данных о пользователях интернета и могут следить за ними, что нередко критикуется юристами и IT-экспертами. Также сбор персональных данных порой вызывает беспокойство и у рядовых интернет-пользователей.
Американские исследователи показали, что при определенных условиях воспользоваться этими данными могут не только рекламные сети, но также и их клиенты. Они решили использовать идентификатор MAID (мобильный рекламный идентификатор), позволяющий рекламным сетям определять конкретное мобильное устройство для показа объявлений. Стоит отметить, что стандартными средствами получить этот идентификатор третьему лицу сложно, для этого его необходимо перехватить, к примеру, при использовании незащищенного Wi-Fi. Если же злоумышленнику все же удалось узнать MAID устройства интересующего его человека, он может использовать его для слежки.
Исследователи предложили использовать возможность многих рекламных сетей настраивать рекламу для показа на конкретных устройствах и в конкретном местоположении. Таким образом злоумышленник может создать на карте сеть объявлений, настроенных на конкретного человека, и получать таким образом карту его перемещений. Исследователи продемонстрировали реальную карту перемещений по городу, составленную таким образом. По их словам, на такую операцию злоумышленнику нужно будет потратить около тысячи долларов.
Несмотря на возможности метода, стоит отметить, что он имеет довольно сильные ограничения. Во-первых, получить идентификатор устройства довольно сложно, во вторых, для показа объявления человек должен находиться в этом месте несколько минут. Помимо этого, на его устройстве должно быть включено приложение, в котором злоумышленник заказал показ объявлений. В качестве защиты от такого метода исследователи предложили периодически сбрасывать рекламный идентификатор устройства, что можно сделать штатными средствами на Android и iOS.
Источник: N+1