?不得不感嘆，個人信息真是越來越不值錢了。

充電插口、充電寶?、公共WiFi都有可能讓手機成為被攻擊的對象。

只是沒想到如今連手機廣告也“慘遭毒手”。

是的，你沒看錯，就是這些每次刷手機的時候時不時碰出來惡心你的那些廣告。

最近，佐治亞理工學院、伊利諾伊大學和紐約大學的研究人員發(fā)表了一份研究報告，該報告指出，攻擊者能通過欺騙第三方廣告網(wǎng)絡，實現(xiàn)通過用戶瀏覽器瀏覽的網(wǎng)站上的廣告來竊取個人隱私信息的目的。

?除此之外，黑客不僅可以竊取用戶的廣告，還可以在廣告空間顯示惡意廣告。這些廣告往往是重定向廣告（retargeted advertising），即根據(jù)第三方廣告網(wǎng)絡收集的瀏覽歷史、位置數(shù)據(jù)和其他各種因素為個人量身定做。

也就是說，這些重定向廣告中含有許多個人敏感信息。例如用戶的性取向、宗教信仰、懷孕狀況、旅行計劃和在網(wǎng)上商店查看的物品等個人信息都能一覽無遺。

該研究目前已經以論文的形式進行了發(fā)表。

論文鏈接：https://dl.acm.org/doi/10.1145/3548606.3560641

攻擊者與受害者的“身份糾纏”

定向廣告是目前的一種普遍做法，其中用戶身份是核心。

一般來說，用于重定向廣告的用戶信息由第三方廣告網(wǎng)絡發(fā)送的cookies收集，并與一個獨特的標識符，如電子郵件地址相關。廣告商能夠借此創(chuàng)建用戶檔案。但是這些第三方廣告網(wǎng)絡與用戶沒有關系，而是依靠外部各方如廣告商，來建立信任關系。

而正是這種復雜的信任關系，被攻擊者利用起來混淆廣告網(wǎng)絡，從而將無特權的攻擊者的瀏覽器鏈接到受害者的身份，“冒充”廣告網(wǎng)絡受害者。

基于此，研究人員提出了Advertising Identity Entanglement，一種從廣告網(wǎng)絡遠程提取特定用戶瀏覽行為的漏洞，只知道受害者的電子郵件地址，無法訪問受害者、廣告網(wǎng)絡或網(wǎng)站。

跨設備跟蹤中的這一缺陷允許攻擊者將錯誤的身份信息傳遞給第三方廣告網(wǎng)絡，導致網(wǎng)絡混淆攻擊者和受害者。如此，攻擊者就會在整個廣告網(wǎng)絡中收到針對受害者的廣告。

移花接木就這么完成了。

研究人員發(fā)現(xiàn)，這種“身份糾纏”是一個重要的用戶隱私漏洞，攻擊者可以在其中了解詳細的受害者瀏覽活動，例如零售網(wǎng)站、產品，甚至是受害者與之交互過的特定公寓或酒店。

值得注意的是，這個漏洞也是雙向的，攻擊者能夠向受害者展示特定的廣告，從而引入尷尬攻擊和勒索的可能性。

甚至可以進行惡意廣告攻擊

一旦獲得了用戶的電子郵件地址，攻擊者就會欺騙第三方廣告網(wǎng)絡，為用戶獲取重定向廣告。 

假設受害者在使用廣告商的網(wǎng)站時啟用了JavaScript和cookies，比如使用受害者的電子郵件地址，使第三方廣告網(wǎng)絡將攻擊者的設備識別為跨設備。如此攻擊者的電腦就被添加為多個設備之一，得以訪問各種網(wǎng)站。

而一旦被識別，這些設備會被視為受害者的額外設備，攻擊者可以為受害者接收重新定位的廣告。如上所述，這些廣告包含關于受害者的各種信息，如他們的興趣和偏好以及他們目前的狀態(tài)。

那么，如何欺騙第三方廣告網(wǎng)絡，使其從受害者的電子郵件地址中加入他們作為交叉設備呢？

論文中提到了兩種方法。第一，攻擊者訪問一個網(wǎng)站，在HTTP請求中編輯電子郵件地址，即攻擊者將自己的電子郵件地址替換成受害者的電子郵件地址。第二種是通過欺騙網(wǎng)站，使其在攻擊者創(chuàng)建賬戶時不驗證用戶的身份，給出受害者的電子郵件地址并虛假地將其認定為受害者來實現(xiàn)。

在這兩種情況下，第三方廣告網(wǎng)絡便無法區(qū)分受害者和攻擊者的設備。

此類攻擊具有侵犯隱私潛力，重視度仍有待提高

為了證明這種攻擊行為的可行性，研究人員進行了一系列“盲”實驗，即攻擊者事先對受害者的行為或廣告沒有任何了解。

通過第三方廣告網(wǎng)絡放置的重定向廣告提取受害者個人資料的瀏覽行為，研究人員除了受害者的電子郵件地址外，沒有得到關于受害者的任何信息。

除此之外，受害者瀏覽活動可以在網(wǎng)站和項目粒度提取，問題存在于整個廣告網(wǎng)絡。

調查結果顯示，第三方廣告網(wǎng)絡使用了未經驗證的商家身份信息。論文展示了此類攻擊在實質上侵犯用戶隱私方面的潛力，包括其他廣告網(wǎng)絡問題、漏洞全面范圍和潛在緩解措施。

實驗還揭示了大量的隱私用戶信息的泄露。在一些實驗中，并不是所有受害者瀏覽活動都可以恢復。雖然研究人員希望進一步識別特定的用戶瀏覽活動，但用戶瀏覽行為泄露給只知道電子郵件地址的外部攻擊者應該是不可能的，而且該發(fā)現(xiàn)指出了一個需要糾正的現(xiàn)實漏洞。

只是在承認受到攻擊后，Criteo在幾個月里都沒有采取任何緩解措施。這也恰好說明了此類修正與緩解廣告網(wǎng)絡攻擊所面臨的挑戰(zhàn)。?