Звичайна людина може за певних умов відстежувати переміщення та отримати інші особисті дані споживача через розміщення рекламних оголошень, що відображаються додатками на смартфоні. Це продемонстрували дослідники з Вашингтонського університету у своєму дослідженні, яке буде представлено на конференції WPES 2017 30 жовтня.
Для відстеження показів рекламних оголошень, таргетованої реклами та однозначної ідентифікації пристроїв використовується спеціальні ідентифікатори. Такі ідентифікатори дозволяють показувати рекламу не всім користувачам, а тільки тим, кому може бути цікава тема рекламного оголошення. Варто відзначити, що в реальності великі рекламні мережі отримують багато даних про користувачів інтернету і можуть стежити за ними, що нерідко критикується юристами та IT-експертами. Також збір персональних даних часом викликає занепокоєння і у пересічних інтернет-користувачів.
Американські дослідники показали, що за певних умов скористатися цими даними можуть не тільки рекламні мережі, але також і їхні клієнти. Вони вирішили використовувати ідентифікатор MAID (мобільний рекламний ідентифікатор), що дозволяє рекламним мережам визначати конкретний мобільний пристрій для показу оголошень. Варто зазначити, що стандартними засобами отримати цей ідентифікатор третій особі складно, для цього її необхідно перехопити, наприклад, при використанні незахищеного Wi-Fi. Якщо ж зловмиснику все ж вдалося дізнатися MAID пристрою, який його цікавить, він може використовувати його для стеження.
Дослідники запропонували використовувати можливість багатьох рекламних мереж налаштовувати рекламу для показу на конкретних пристроях і в конкретному місці розташування. Таким чином зловмисник може створити на карті мережу оголошень, налаштованих на конкретну людину, і отримувати таким чином карту його переміщень. Дослідники продемонстрували реальну карту переміщень містом, складену таким чином. За їхніми словами, на таку операцію зловмиснику потрібно буде витратити близько тисячі доларів.
Незважаючи на можливості методу, варто зазначити, що він має досить сильні обмеження. По-перше, отримати ідентифікатор пристрою досить складно, по-друге, для показу оголошення людина повинна перебувати в цьому місці кілька хвилин. Крім цього, на його пристрої має бути включено додаток, в якому зловмисник замовив показ оголошень. Як захист від такого методу дослідники запропонували періодично скидати рекламний ідентифікатор пристрою, що можна зробити штатними засобами на Android і iOS.
Нещодавно Google представив новий сервіс Google Атрибуція, який, серед іншого, дає рекламодавцям можливість фіксувати факт покупки відвідувачем магазину і зіставляти ці дані з показами реклами, які прив'язані до онлайн-профілю цієї ж людини.