Mobilni oglasi mogu poslužiti kao jeftini špijunski alati

Mobilni telefoni, 27.10.2017, 01:00 AM

Mobilni oglasi mogu poslužiti kao jeftini špijunski alati

Mobilne oglasne mreže koje omogućavaju mobilnim oglašivačima targetiranje korisnika mogu biti zloupotrebljene za praćenje korisnika sa preciznošću od 8 metara i to za 1000 dolara a možda i sa manjim budžetom.

Ovo je zaključak trojice naučnika sa Univerziteta u Vašingtonu koji tvrde da napadači mogu iskoristiti alate mobilnih oglasnih mreža za praćenje ljudi koji se uklapaju u određeni obrazac ili za špijuniranje poznatih ciljeva.

Primera radi, napadač se može registrovati na jedan od takvih servisa i odabrati da se oglasi prikazuju samo na određenom području, i to tako malom da to može podrazumevati koordinate kuće u njegovom komšiluku.

S obzirom da napadač kupuje oglase, to znači da on dobija izveštaje kako i kada su oglasi isporučeni. Ovi izveštaji ne prikazuju samo kada se na oglase kliknulo, već i kada su prikazani, a u slučaju mobilnih oglasa, prikazuje se i u kojim aplikacijama i na kojim web sajtovima.

Napadač ovo može iskoristiti da dođe do informacija o svom cilju, na primer, kada je neko kod kuće, koje je vere, kakve su mu seksualne navike, kakvog je zdravlja i druge. Ove informacije nisu direktno dostupne u ovim izveštajima, ali ako korisnik često vidi oglase kada posećuje web sajt neke klinike ili recimo kada koristi aplikaciju za upoznavanje LGBT osoba, onda u većini slučajeva ti podaci govore sami za sebe.

Ovakav scenario praćenja oslanja se na promenljive i često netačne podatke kao što su geografske koordinate ili IP adrese. Međutim, naučnici kažu da praćenje korisnika preko mobilnih oglasa može biti mnogo preciznije ako napadač otkrije MAID (Mobile Advertising ID) korisnika, koji je jedinstven za svaki uređaj.

MAID nije slobodno dostupan, ali naučnici tvrde da to i nije neka velika prepreka za napadače.

Naime, napadači mogu otkriti MAID cilja kada korisnik klikne na neki oglas, presretanjem lokalnog nešifrovanog WiFi mrežnog saobraćaja, ili prikazivanjem oglasa sa malicioznim JavaScriptom koji prikuplja MAID čak i kad korisnik ne klikne na oglas. U nekim slučajevima, napadač može sam da izračuna MAID, ako ima pristup različitim specifikacijama uređaja.

Kada napadač ima MAID, tačnost njegovih alata za praćenje se višestruko uvećava, i omogućava mu da isporuči čak i targetiranije oglase.

Naučnici su ovu tehniku praćenja nazvali ADINT. Tehnika je relativno jeftina, košta svega nekoliko hiljada dolara, što je daleko jeftinije od špijunskih malvera koji koštaju ponekad i po nekoliko miliona dolara. Više tehničkih detalja o ovoj metodi praćenja možete naći ovde.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver Joker ponovo pronađen u aplikacijama u Google Play prodavnici

Malver Joker ponovo pronađen u aplikacijama u Google Play prodavnici

Tokom poslednje tri godine Google Play prodavnica često je bila dom zloglasnog malvera „Joker“. Malver je sada ponovo otkriven u 8 novih ... Dalje

iPhone ima bag zbog kog se ne smete povezivati sa ovom Wi-Fi mrežom

iPhone ima bag zbog kog se ne smete povezivati sa ovom Wi-Fi mrežom

U iOS-u je otkrivena bizarna greška zbog koje iPhone može trajno onemogućiti svoju Wi-Fi funkciju ako korisnik pokuša da se poveže sa Wi-Fi mrež... Dalje

Tim Kuk kaže da Android ima 47 puta više malvera nego iOS

Tim Kuk kaže da Android ima 47 puta više malvera nego iOS

Direktor Applea Tim Kuk izjavio je da Android ima više malvera nego iOS i da „sideloading“ mobilnog softvera nije u „najboljem inte... Dalje

Malver u lažnoj antivirusnoj aplikaciji za Android

Malver u lažnoj antivirusnoj aplikaciji za Android

Malver TeaBot inficira pametne telefone pretvarajući se da je čuveni antivirusni program. Lažnu aplikaciju prevaranti su nazvali “Kaspersky ... Dalje

Googleova aplikacija Messages sada nudi šifrovanje poruka

Googleova aplikacija Messages sada nudi šifrovanje poruka

Zajedno sa nizom novih funkcija, Google konačno uvodi end-to-end enkripciju (E2EE) za sve u aplikaciji Messages. Beta testeri mogu da koriste E2EE po... Dalje