任何人都可以购买在线广告来跟踪您的位置和应用使用情况

长期以来，隐私问题一直围绕着网络广告网络收集的有关人们浏览，购买和社交媒体习惯的信息 - 通常是为了向您推销某些内容。

但有人可以使用移动广告来了解你去哪儿喝咖啡吗?一个窃贼可以建立一个虚假的公司，并在你离开家时向你的手机发送广告吗?一个可疑的雇主可以看看你是否在工作时间使用购物应用程序?

答案是肯定的，至少在理论上是这样。华盛顿研究的新大学，将在提交论文 10月30日在美国计算机协会的研讨会在电子学会隐私，表明了大约$ 1,000，有人用不正当的意图可以购买和目标在线广告的方式，让他们跟踪其他人的位置并了解他们正在使用的应用程序。

“从外国情报人员到嫉妒的配偶的任何人都可以很容易地与一家大型互联网广告公司签约，并且在相当适度的预算中使用这些生态系统来追踪另一个人的行为，”主要作者Paul Vines说，他是最近的博士生。威斯康星大学的Paul G. Allen计算机科学与工程学院。

该研究小组着手测试对手是否可以利用现有的在线广告基础设施进行个人监控，如果是，则提高行业对威胁的认识。

“因为我们所做的事情很容易，我们认为这是在线广告业需要考虑的问题，”联合作者，UW安全与隐私研究实验室联合主任Franzi Roesner说道。艾伦学校的助理教授。“我们正在分享我们的发现，以便广告网络可以尝试检测和减轻这些类型的攻击，从而可以广泛地公开讨论我们作为一个社会如何试图阻止它们。”

研究人员发现，在某些情况下，个人广告购买者可以看到一个人何时访问预定的敏感位置 - 某个事件的可疑会合点，风险资本家可能感兴趣的公司的办公室或某人的医院可能正在接受治疗 - 在该人到达的10分钟内。通过向目标手机提供基于位置的广告，他们还能够在早上通勤期间跟踪一个人在整个城市的移动情况。

该团队还发现，购买广告的个人可以看到他们的目标使用的应用类型。这可能会泄露有关个人利益，约会习惯，宗教信仰，健康状况，政治倾向和其他潜在敏感或私人信息的信息。

想要监视一个人的动作的人首先需要学习目标移动电话的移动广告ID(MAID)。这些唯一标识符可帮助营销人员根据个人兴趣量身定制广告，只要用户点击移动广告，就会向广告客户和其他多方发送广告。也可以通过窃听该人正在使用的不安全的无线网络或通过临时访问他或她的WiFi路由器来获得人的MAID。

UW团队证明，广告服务的客户可以通过该服务购买大量超本地广告，只有当其所有者在特定地点打开应用时才会将其投放到该特定电话。通过设置这些基于位置的广告的网格，对手可以跟踪目标的移动，如果他或她已经打开一个应用程序并且保持在一个足够长的位置以便提供广告 - 通常大约四分钟，该团队发现。

重要的是，目标不必点击广告或与广告互动 - 购买者可以看到广告的投放位置，并使用该信息通过空间跟踪目标。在团队的实验中，他们能够在大约8米内确定一个人的位置。

“老实说，我对这是多么有效感到震惊，”共同作者，艾伦学校教授Tadayoshi Kohno说，他研究过汽车和医疗设备等产品的安全漏洞。“我们做了这项研究，以便更好地了解在线广告的隐私风险。随着广告客户越来越有能力定位和跟踪人们提供更好的广告，这是一个根本的紧张局势，对手也有机会开始利用这种额外的精确度。了解技术的好处和风险非常重要。“

个人可能会破坏UW团队通过频繁重置手机中的移动广告ID所展示的简单类型的基于位置的攻击 - 这是许多智能手机现在提供的功能。研究人员表示，在个人应用设置中禁用位置跟踪可能会有所帮助，但广告商仍有可能以其他方式获取位置数据。

研究人员表示，在行业方面，移动和在线广告商可以通过拒绝仅针对少数设备或个人的广告购买来帮助阻止这类攻击。他们还可以开发和部署机器学习工具，以区分正常的广告模式和看起来更像个人监控的可疑广告行为。