在网上追踪一个人要费多大劲?只需6000块钱买条广告


智能移动时代,你觉得追踪一个人要费多大劲?

华盛顿大学的研究人员说:任何一个人,只要有时间、决心和六千块钱,就足够了。

提起“移动广告暴露个人隐私”这个话题,我们一般会想到那些会把用户视作数据点的大公司,因为他们会利用用户手机或者其他移动设备的位置信息来实现广告的精准投放。换句话说,目前新型的广告工具可以根据“移动中的用户所处的实时位置”进行定位和行为/情境分析。

不过现在,世界好像变得又危险了一点。因为华盛顿大学的研究人员发现这种 “基于地理位置”的广告系统会暴露用户的实时位置信息和使用app的具体情况,而且普通人也可以花费不多的钱购买这类广告来追踪他人,拿到他人的私人信息。

每部手机都有一个移动广告标识(MAID),广告商基于MAID可以向特定地点投放广告,这类基于位置信息的广告会形成一个地理网格,当人们走进网格区域时会在手机上收到提示。

图片来源:dailymail

举个例子:一个对这套广告系统了如指掌的追踪者可以花大把时间精确追踪目标人物的位置、了解TA的人口统计学特征(年龄、性别、人种、住处等)、TA的手机上安装了哪些APP,甚至把所有的这些信息关联起来可能会得出下面的这些结论:

一个二十多岁的男人在他的手机上安装了一个同性恋约会的APP,他住在某某街区;坐在追踪者身边的人喝了杯星巴克咖啡,然后追踪者能知道TA喝完咖啡后走了哪条路去了哪个目的地;追踪者还能知道TA的爱人拜访了哪个特定朋友的家或去了哪家公司。

那么研究人员是怎么实验的呢?

他们设定会购买这类广告的是那些虽然出价不高但追踪针对性却很强的人,从而检测广告系统的故意跟踪功能是否能够满足普通人的需要。

实验在10台Android设备上进行。研究人员花1,000美元购买了某个广告平台的服务,该系统允许广告商指定广告出现的位置、在哪种型号的手机以及哪些应用程序上出现。

接着他们在美国西雅图市的某一区域圈定了3英里范围内的人群进行广告投放。他们选定了一个允许用户通过WiFi打电话发短信的iPhone应用——Talkatone来进行观察,该应用支持广告商投放基于地理位置信息的广告。

每当有人在划定区域内打开Talkatone,研究人员就能在25英尺(约八米)的范围内精确定位这些人的位置。

虚线显示的是测试者的真实路径,而红点显示广告传送到测试者手机的位置,从而间接暴露了测试者的工作场所、巴士站、家庭住址和当地咖啡店。

图片来源:华盛顿大学

不仅是Talkatone,研究人员还在Grindr、Imgur、Words with Friends等其他10种不同的手机应用上都做了测试。结果发现,通过这种追踪方法,用户的位置以及手机里安装了哪些APP等信息都会遭到泄露。

不过该跟踪方法有两个严重的限制。一是目标人物在被追踪时必须从手机上打开某个应用程序,追踪者的后台才能显示信息。二是为了跟踪特定的电话,任何广告购买者都必须知道目标人物电话的唯一标识符——移动广告标识(MAID)。

但对那些想要追踪他人、窥探隐私的人来说,上面的两点限制很容易打破。

追踪者可以在一系列受欢迎的手机应用上投放他们的广告,寄希望于其中一个可以显示,所谓的“广撒网多捞鱼”。 这个过程就会暴露用户的性取向或者宗教信仰等敏感信息。例如,如果追踪者的广告显示在了同性恋应用Grindr上,那就说明在位置范围内标记的用户已经安装了这款APP。

至于第二点,研究人员说获取特定手机的MAID并不难,比如可以使用javascript技术来提取,或者如果与目标手机连接到同一个WiFi网络的话也可以破解MAID。匹兹堡大学的教授亚当·李(Adam Lee)就评论说:“对于非常有针对性的追踪来说,这些技术的门槛并不高。”

该研究报告还指出了一些潜在的恶意利用这种方法获取隐私信息的例子。比如,当我们的手机连接到星巴克Wi-Fi时,附近桌上的人可能会窃取MAID来跟踪我们的行动。再比如,如果这些基于位置信息的广告被投放到同性恋约会或者与宗教相关的应用的话,很多敏感的私人信息也会随之暴露。

“任何在外国情报机构工作的人或者不信任配偶的人都可以很容易与大型互联网广告公司签约,花不多的钱,使用这样的广告系统来追踪另一个人的行为。”论文的作者、华盛顿大学的博士毕业生Paul Vines说。

既然基于地理位置的广告系统成了入侵用户隐私的一大入口,我们能做些什么呢?

很丧的是,我们好像什么都做不了,因为用户很难避免收到这类广告。不过在线广告公司似乎更容易采取行动,比如未来更频繁地重置手机的移动广告标识符(MAID),并主动扫描恶意广告买家。

论文的联合作者、华盛顿大学安全和隐私研究实验室的主任Franzi Roesner表示:“广告买家很容易知道我们之前做过些什么。这是移动广告行业现在需要反思的一个问题。”

来源:36氪