By 
Нове дослідження, опубліковане цього тижня, показує, що процес, який сторонні рекламодавці використовують для націлювання на онлайн-користувачів, може переглядатися або маніпулювати онлайн-зловмисниками, використовуючи лише адресу електронної пошти своєї мети. Команда з чотирьох дослідників з Технологічного інституту Джорджії, Університету Іллінойсу в Чикаго (UIC) і Університету Нью-Йорка (NYU) представила свої висновки в середу на конференції ACM з комп’ютерної та комунікаційної безпеки (CCS), головному місці безпеки.
Сьогодні велика частина реклами, яка з’являється в Інтернеті, спеціально підібрана для людей на основі їх історії веб-перегляду, місцеперебування та ряду інших факторів, які збираються сторонніми рекламними мережами. Ці дані збираються шляхом відстеження файлів cookie, які надсилаються сторонніми рекламними мережами та співвідносяться з унікальними ідентифікаторами, такими як адреси електронної пошти. Ці файли cookie дозволяють рекламодавцям створювати розширені профілі користувачів Інтернету, однак, як виявили дослідники, на цю систему можуть впливати зловмисники.
Коли зловмисник дізнається адресу електронної пошти користувача, він може отримати доступ до інформації, яку збирає будь-який сторонній рекламодавець, який спостерігає за цільовим рекламним потоком певного користувача. Це може дозволити зловмисникам ознайомитися з детальною історією веб-перегляду особи, як-от веб-сайти роздрібної торгівлі та подорожей.
«Сторонні рекламні мережі не мають прямого зв’язку з користувачами. Таким чином, якщо вони хочуть відстежувати дії користувачів на різних пристроях, вони повинні покладатися на ідентифікаційну інформацію, таку як адреси електронної пошти, надану їм з інших веб-сайтів», – сказав Пол Пірс, асистент. професор Школи кібербезпеки та конфіденційності (SCP) Технічного університету Джорджії. «Наша робота показує, що спосіб передачі інформації в рекламні мережі є небезпечним і важко перевірити. Якщо зловмисник знає адресу електронної пошти жертви, він може збрехати рекламній мережі, видаючи себе за користувача, що призводить до реальних проблем із конфіденційністю.»
Дослідники описують цю схильність як заплутаність ідентифікаційної інформації в рекламі, і це відбувається, коли зловмисники плутають рекламні мережі, щоб зв’язати файли cookie відстеження зловмисника з адресою електронної пошти цільової особи, зациклюючи їх на даних, зібраних третіми сторонами. Як заявляють Пірс та його колеги у своїй статті, зловмисники також можуть використовувати цей процес для надсилання реклами будь-якого типу своїм цілям.
«Коли я користуюся Інтернетом на своєму особистому пристрої, як-от телефон чи ноутбук, я не очікую, що хтось, хто знає мою особисту електронну пошту, зможе маніпулювати тим, що я бачу», — сказав Кріс Каніч, доцент UIC. «Ця атака викликає особливе занепокоєння, і я відчуваю полегшення, оскільки використовую блокувальники реклами та відстеження у своїх веб-переглядачах».
Щоб перевірити масштаби цієї проблеми, дослідники створили штучних користувачів і профіль для свого експерименту, жодного разу не переслідуючи реальних людей. Знаючи лише адресу електронної пошти експериментального користувача, команда змогла ідентифікувати конкретні елементи та веб-сайти, з якими взаємодіяла жертва.
Разом із купівельними звичками, тест також показав, що перенацілена реклама може містити конфіденційну інформацію про місцеперебування. Наприклад, якщо жертва взаємодіяла з деякими готельними та туристичними веб-сайтами, зловмисник міг отримати перенацілену рекламу конкретного готелю, який переглядала жертва.
«Рекламна мережа, яка потенційно розкриває плани подорожей будь-кому, хто має адресу електронної пошти цілі, є значною загрозою конфіденційності та потенційно небезпечною для людей, яких переслідують», — сказав Деймон Маккой, доцент Нью-Йоркського університету.
Дослідники вказують, що боротися з цією проблемою без підтримки рекламних мереж складно, але блокувальники реклами забезпечують розумну початкову можливість обмежити розкриття особистих даних користувача. Однак пом’якшення цієї загрози не повинно лягати лише на користувачів. Команда також припускає, що якби сторонні рекламні мережі зашифрували процес обміну ідентифікаційною інформацією та забезпечили перевірку та коректність даних, це допомогло б зменшити загрозу.
Дослідження було представлено на ACM CCS 22. Стаття «Cart-ology: Intercepting Targeted Advertising via Ad Network Identity Entanglement» є співавтором SCP Ph.D. студент ChangSeok Oh, Kanich, McCoy та Pearce. Згідно з правилами етичних досліджень, про загрозу було повідомлено Criteo, одній з найбільших сторонніх рекламних мереж на ринку, а також Yahoo.
Comments