不得不感叹,个人信息真的不值钱。充电插座、充电宝、公共WiFi都有可能让手机成为攻击目标。只是没想到连手机广告都“惨遭谋杀”。是的,你没看错,这些就是每次刷手机都会让你反感的广告。近日,佐治亚理工学院、伊利诺伊大学和纽约大学的研究人员发表研究报告称,攻击者可以通过诱骗第三方广告网络在用户浏览器浏览的网站上投放广告来窃取个人隐私信息。除此之外,黑客不仅可以窃取用户的广告,还可以在广告位展示恶意广告。这些广告通常是重定向广告,根据第三方广告网络收集的浏览历史、位置数据和各种其他因素为个人量身定制。换句话说,这些重定向广告包含大量个人敏感信息。用户的性取向、宗教信仰、怀孕状况、旅行计划和在网上商店浏览过的物品等个人信息一目了然。该研究现已以论文的形式发表。论文链接:https://dl.acm.org/doi/10.1145/3548606.3560641攻击者和受害者的“身份纠缠”定向广告是目前普遍的做法,其中用户身份是核心。通常,用于重定向广告的用户信息由第三方广告网络发送的cookie收集,并与唯一标识符相关联,例如电子邮件地址。广告商可以使用它来创建用户配置文件。但这些第三方广告网络与用户没有任何关系,而是依赖广告商等外部方建立信任关系。攻击者正是利用这种复杂的信任关系来混淆广告网络,从而将非特权攻击者的浏览器与受害者的身份联系起来,“冒充”广告网络受害者。基于此,研究人员提出了AdvertisingIdentityEntanglement,一种从广告网络中远程提取特定用户浏览行为的漏洞,只知道受害者的电子邮件地址,无法访问受害者、广告网络或网站。跨设备跟踪中的这一缺陷允许攻击者将虚假身份信息传递给第三方广告网络,导致网络混淆攻击者和受害者。通过这种方式,攻击者可以在整个广告网络中接收到针对受害者的广告。这就是嵌入的完成方式。研究人员发现,这种“身份纠缠”是一个重要的用户隐私漏洞,攻击者可以在其中了解详细的受害者浏览活动,例如零售站点、产品,甚至受害者与之互动的特定公寓或酒店。值得注意的是,这个漏洞也是双向的,攻击者可以向受害者展示特定的广告,从而引入尴尬攻击和勒索的可能性。恶意广告攻击甚至是可能的。一旦获得用户的电子邮件地址,攻击者就可以诱骗第三方广告网络为用户获取重定向广告。假设受害者在使用广告商的网站时启用了JavaScript和cookie,例如使用受害者的电子邮件地址,导致第三方广告网络将攻击者的设备识别为跨设备。然后将攻击者的计算机添加为多个设备之一,允许访问各种网站。一旦被识别,这些设备将被视为受害者的附加设备,攻击者可以接收针对受害者的重定向广告。如上所述,这些广告包含有关受害者的各种信息,例如他们的兴趣和偏好以及他们的当前状态。那么,如何诱使第三方广告网络从受害者的电子邮件地址将它们添加为跨设备呢?文中提到了两种方法。首先,攻击者访问一个网站并编辑HTTP请求中的邮箱地址,即攻击者将自己的邮箱地址替换为受害者的邮箱地址。第二种是通过欺骗网站在攻击者创建帐户时不验证用户身份,提供受害者的电子邮件地址并将他们错误地识别为受害者。在这两种情况下,第三方广告网络都无法区分受害者和攻击者设备。此类攻击具有侵犯隐私的潜在风险,需要引起高度重视。为了证明这种攻击的可行性,研究人员进行了一系列的“盲”实验,即攻击者对受害者的行为或广告事先一无所知。受害者个人资料的浏览行为是通过第三方广告网络投放的重定向广告提取的,研究人员除了电子邮件地址外没有获得任何关于受害者的信息。除此之外,可以在站点和项目粒度上提取受害者浏览活动,并且该问题存在于整个广告网络中。调查结果显示,第三方广告网络使用未经验证的商家身份。该白皮书展示了此类攻击可能会严重侵犯用户隐私,包括其他广告网络问题、漏洞的全部范围以及潜在的缓解措施。实验还揭示了大量的私人用户信息泄露。在一些实验中,并非所有受害者的浏览活动都可以恢复。虽然研究人员希望进一步识别特定的用户浏览活动,但应该不可能将用户的浏览行为泄露给只知道电子邮件地址的外部攻击者,这一发现指向了一个需要纠正的现实漏洞.只有在承认攻击后,Criteo才几个月没有采取任何缓解措施。这也说明了这种补救和缓解广告网络攻击的挑战。
