只需1000美元 任何人都可以购买在线广告来跟踪您的位置和应用使用情况

长期以来，隐私问题一直围绕着在线广告网络收集到的有关人们的浏览，购买和社交媒体习惯的信息(通常是向您出售商品)而引起。

但是，有人可以使用移动广告来了解您要去哪里喝咖啡吗?窃贼能否建立一个假公司并向您的手机发送广告以了解您离开家时的情况?可疑的雇主可以查看您是否在工作时间使用购物应用程序吗?

答案是肯定的，至少在理论上是这样。华盛顿大学的新研究将于10月30日在计算机协会在电子社会中的隐私研讨会上发表，该研究表明，有vious昧意图的人可以以允许他们跟踪的方式购买和定位在线广告，其他人的位置，并了解他们正在使用哪些应用。

研究报告的主要作者保罗·维涅斯(Paul Vines)说：“从外国情报人员到嫉妒的配偶，任何人都可以很容易地与一家大型的互联网广告公司签约，并且以相当适度的预算使用这些生态系统来追踪另一个人的行为。”华盛顿大学的Paul G. Allen计算机科学与工程学院。

该研究小组着手测试对手是否可以利用现有的在线广告基础设施进行个人监视，如果可以的话，可以提高业界对该威胁的认识。

UW安全和隐私研究实验室的联合负责人，作家弗朗兹·罗斯纳(Franzi Roesner)说：“因为做我们的事情非常容易，我们认为这是在线广告业需要考虑的问题。”艾伦学院助理教授。“我们正在分享我们的发现，以便广告网络可以尝试检测并减轻这些类型的攻击，从而可以就我们这个社会如何防止这种攻击进行广泛的公开讨论。”

研究人员发现，在某些情况下，单个广告购买者可以看到某人何时访问了预定的敏感位置-涉嫌聚会的地方，风险投资家可能感兴趣的公司办公室或医院。某人可能会在其到达后的10分钟内接受治疗。他们还能够通过在目标通勤电话上投放基于位置的广告，来跟踪一个人在早上上下班途中在整个城市的活动。

该团队还发现，购买广告的个人可以看到他们的目标正在使用哪些类型的应用。这可能会泄露有关该人的兴趣，约会习惯，宗教信仰，健康状况，政治倾向的信息以及其他可能敏感或私人的信息。

首先，想要监视某人的动作的人需要学习目标移动电话的移动广告ID(MAID)。每当用户点击移动广告时，这些有助于营销人员提供针对个人兴趣量身定制的广告的唯一标识符就会发送给广告客户和许多其他方。也可以通过窃听该人正在使用的不安全无线网络或临时访问其WiFi路由器来获得其MAID。

UW团队证明，广告服务的客户可以通过该服务购买许多超本地广告，只有当其所有者在特定地点打开应用程序时，该广告才会投放到该特定电话。通过设置这些基于位置的广告的网格，如果目标用户打开了应用程序并且停留在足以放置广告的位置(通常约四分钟)，对手就可以跟踪目标的运动。 。

重要的是，目标无需点击广告或与广告互动-购买者可以看到广告的投放位置，并使用该信息在整个空间内跟踪目标。在小组的实验中，他们能够精确定位一个人在8米以内的位置。

共同作者，艾伦学院教授Tadayoshi Kohno说：“说实话，我为它的有效性感到震惊。他研究了从汽车到医疗设备等产品的安全漏洞。“我们进行这项研究是为了更好地理解在线广告所带来的隐私风险。随着广告商越来越有能力瞄准和跟踪人们来交付更好的广告，存在着一种根本性的压力，对手也有机会开始利用这种额外的精度。了解技术的好处和风险非常重要。”

个人可能会通过频繁重置手机中的移动广告ID来破坏UW团队展示的简单的基于位置的攻击，这是许多智能手机现在提供的功能。研究人员说，在单个应用程序设置中禁用位置跟踪可能会有所帮助，但是广告商仍然可能能够以其他方式收集位置数据。

研究人员说，在行业方面，移动和在线广告商可以通过拒绝仅针对少数设备或个人的广告购买来帮助阻止此类攻击。他们还可以开发和部署机器学习工具，以区分正常的广告模式和看起来更像是个人监视的可疑广告行为。

UW安全和隐私研究实验室是评估新兴技术(包括汽车远程信息处理，Web浏览器，DNA测序软件和增强现实)中潜在安全威胁的领导者，然后才能将这些恶意行为加以利用。

该团队的下一步工作包括与西澳大学技术政策实验室的专家合作，探讨这种新型潜在情报收集形式所引发的法律和政策问题。

该研究由美国国家科学基金会，技术政策实验室和Short-Dooley教授职位资助。