Las preocupaciones de privacidad han girado en torno a la cantidad de información que las redes de publicidad en línea recopilan sobre la navegación, las compras y los hábitos de las redes sociales de las personas, generalmente para venderle algo.
¿Pero alguien podría usar la publicidad móvil para saber a dónde va a tomar un café? ¿Podría un ladrón establecer una empresa falsa y enviar anuncios a su teléfono para saber cuándo sale de la casa? ¿Podría un empleador sospechoso ver si está usando aplicaciones de compras en¿tiempo de trabajo?
La respuesta es sí, al menos en teoría. La nueva investigación de la Universidad de Washington, que se presentará el 30 de octubre en el Taller de la Asociación para la Maquinaria de Computación sobre Privacidad en la Sociedad Electrónica, sugiere que por aproximadamente $ 1,000, alguien con intenciones tortuosas puedecomprar y orientar publicidad en línea de manera que les permita rastrear la ubicación de otras personas y aprender qué aplicaciones están usando.
"Cualquier persona, desde un agente de inteligencia extranjero hasta un cónyuge celoso, puede inscribirse fácilmente en una gran empresa de publicidad en Internet y, con un presupuesto bastante modesto, usar estos ecosistemas para rastrear el comportamiento de otra persona", dijo el autor principal Paul Vines, un doctorado recienteen la Facultad de Ciencias de la Computación e Ingeniería Paul G. Allen de la UW.
El equipo de investigación se propuso probar si un adversario podría explotar la infraestructura de publicidad en línea existente para la vigilancia personal y, de ser así, aumentar la conciencia de la industria sobre la amenaza.
"Debido a que fue tan fácil hacer lo que hicimos, creemos que este es un tema en el que la industria de la publicidad en línea debe estar pensando", dijo el coautor Franzi Roesner, codirector del Laboratorio de Investigación de Seguridad y Privacidad de UWy un profesor asistente en la Escuela Allen. "Estamos compartiendo nuestros descubrimientos para que las redes publicitarias puedan tratar de detectar y mitigar este tipo de ataques, y para que pueda haber una amplia discusión pública sobre cómo nosotros como sociedad podríamos tratar de prevenirellos."
Los investigadores descubrieron que un comprador de anuncios individual puede, en ciertas circunstancias, ver cuándo una persona visita un lugar sensible predeterminado: un lugar sospechoso de encuentro para una aventura, la oficina de una compañía en la que un capitalista de riesgo podría estar interesado o unhospital donde alguien podría estar recibiendo tratamiento, dentro de los 10 minutos posteriores a la llegada de esa persona. También pudieron rastrear los movimientos de una persona por la ciudad durante un viaje matutino al enviar anuncios basados en la ubicación al teléfono del objetivo.
El equipo también descubrió que las personas que compran los anuncios podían ver qué tipos de aplicaciones usaba su objetivo. Eso podría divulgar información sobre los intereses de la persona, los hábitos de citas, las afiliaciones religiosas, las condiciones de salud, las inclinaciones políticas y otras aplicaciones potencialmente sensibles o privadasinformación.
Alguien que quiera vigilar los movimientos de una persona primero debe aprender el ID de publicidad móvil MAID para el teléfono móvil del objetivo. Estos identificadores únicos que ayudan a los vendedores a publicar anuncios adaptados a los intereses de una persona se envían al anunciante y a varios otrospartes cada vez que una persona hace clic en un anuncio móvil. También se puede obtener el MAID de una persona al espiar en una red inalámbrica no segura que la persona está utilizando o al obtener acceso temporal a su enrutador WiFi.
El equipo de UW demostró que los clientes de servicios de publicidad pueden comprar una serie de anuncios hiperlocales a través de ese servicio, que solo se servirán a ese teléfono en particular cuando su propietario abra una aplicación en un lugar en particular. Al configurar una cuadrícula de estas ubicacionesbasados en anuncios, el adversario puede rastrear los movimientos del objetivo si él o ella ha abierto una aplicación y permanece en una ubicación el tiempo suficiente para que se publique un anuncio, generalmente alrededor de cuatro minutos, según descubrió el equipo.
Es importante destacar que el objetivo no tiene que hacer clic ni interactuar con el anuncio: el comprador puede ver dónde se publican los anuncios y utilizar esa información para rastrear el objetivo a través del espacio. En los experimentos del equipo, pudieron identificar unubicación de la persona dentro de unos 8 metros.
"Para ser honesto, me sorprendió lo efectivo que fue", dijo el coautor Tadayoshi Kohno, profesor de la Escuela Allen que estudió las vulnerabilidades de seguridad en productos que van desde automóviles hasta dispositivos médicos ". Hicimos esta investigación para mejorarcomprenda los riesgos de privacidad con la publicidad en línea. Existe una tensión fundamental de que a medida que los anunciantes se vuelven más capaces de apuntar y rastrear a las personas para ofrecer mejores anuncios, también existe la oportunidad para que los adversarios comiencen a explotar esa precisión adicional. Es importante comprender tanto los beneficios comoriesgos con tecnologías "
Una persona podría potencialmente interrumpir los tipos simples de ataques basados en la ubicación que el equipo de UW demostró al restablecer con frecuencia las identificaciones de publicidad móvil en sus teléfonos, una característica que ahora ofrecen muchos teléfonos inteligentes. Desactivar el seguimiento de la ubicación dentro de la configuración de las aplicaciones individuales podría ayudar,dijeron los investigadores, pero los anunciantes aún pueden ser capaces de recolectar datos de ubicación de otras maneras.
Según el lado de la industria, los anunciantes móviles y en línea podrían ayudar a frustrar este tipo de ataques al rechazar las compras de anuncios que se dirigen solo a un pequeño número de dispositivos o individuos, dijeron los investigadores. También podrían desarrollar e implementar herramientas de aprendizaje automático para distinguir entre lo normalpatrones de publicidad y comportamiento publicitario sospechoso que se parece más a la vigilancia personal.
El Laboratorio de Investigación de Seguridad y Privacidad de UW es líder en la evaluación de posibles amenazas de seguridad en tecnologías emergentes, incluida la telemática en automóviles, navegadores web, software de secuenciación de ADN y realidad aumentada, antes de que puedan ser explotados por malos actores.
Los próximos pasos para el equipo incluyen trabajar con expertos en el Laboratorio de Políticas Tecnológicas de la Universidad de Washington para explorar las preguntas legales y políticas planteadas por esta nueva forma de recopilación de inteligencia potencial.
La investigación fue financiada por The National Science Foundation, The Tech Policy Lab y Short-Dooley Professorship.
Fuente de la historia :
Materiales proporcionado por Universidad de Washington . Nota: El contenido puede ser editado por estilo y longitud.
Cita esta página :