E安全10月28日讯 华盛顿大学安全隐私实验室三名研究员通过研究发现，攻击者可滥用移动广告商提供的用户定位功能追踪用户，误差距离为8米，其投入成本仅为1000美元，甚至更低。

移动广告网络被滥用实施监控

研究人员发现移动网络提供商为用户提供的定位功能太过精确，威胁攻击者可能会利用该功能搜寻目标或监控已知目标。例如，攻击者可以注册其中一项服务，并设置仅在某个特定地理区域投放广告。

由于攻击者会购买广告，之后会收到使用报告，该报告不仅会展示广告点击和显示时间，还会显示这些广告在哪些应用程序和网站上展示。

攻击者可利用这类数据推断目标的细节，例如在家的时间段、宗教信仰、身体状况等。这类数据并无法通过报告直接获取，但如果用户访问癌症诊所或在使用LGBT约会应用程序时收到广告，这类数据大多会暴露。

MAID被滥用实现高精准追踪

此类追踪场景依赖不断变化、不太精确的数据，例如地理坐标或IP地址。研究人员表示，如果攻击者发现用户的MAID（移动广告ID，每天设备均具有唯一的MAID），通过移动广告对用户追踪多次便能提升准确率。

虽然MAID并非免费提供，但研究人员认为这对攻击者而言构不成多大的障碍。威胁攻击者可拦截本地未加密的WiFi网络流量或投放带有恶意JavaScript（即使用户不点击广告也能收集MAID）的广告，在用户点击广告时发现MAID。此外，攻击者在某些情况下也许能通过各种设备规格推算出MAID。一旦攻击者获取了MAID，追踪的精准率可能提升数倍，这对投放目标广告相当有帮助。

ADINT追踪成本低廉

研究人员将这种追踪技术称之为“ADINT”，即“广告情报”，与间谍行动术语SIGINT（信号情报）和HUMINT（人工情报）类似。与间谍级别的追踪恶意软件（有些需花费数百万美元）相比，这种技术实施起来耗资相当少，仅需几千美元。

缓解措施

虽然这种问题短期内不可能消失，但广告商和用户仍可采取一系列缓解措施。

例如，广告商在审查客户方面应当更加严格，同时限制针对性广告的用户数量和位置，从而使攻击者难以准确追踪用户的位置。

同样，用户可以定期重置MAID，操作指南参见如下链接：

安卓用户：请戳！

iOS用户：请戳！

另一个保护措施是启用广告拦截软件。研究人员表示，在线广告生态系统存在“冲突”：精准的定位功能本是为了合法的商业目的而开发，而此项功能同样也为攻击者所利用。广告商一方面要提供针对性更强的广告，但精准度的提升却强化了ADINT能力。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/1118385799.shtml

▼点击“阅读原文” 查看更多精彩内容