你的手机告白 被偷了！通过重定向告白 窃取小我 隐私，进击 者还能进行恶意告白 进击

年夜 数据文摘出品
作者：Caleb
不得不感慨 ，小我 信息真是越来越不值钱了。

充电插口、充电宝、公共WiFi都有可能让手机成为被进击 的对象。

只是没想到如今连手机告白 也“惨遭毒手”。

是的，你没看错，就是这些每次刷手机的时候时不时碰出来恶心你的那些告白 。
最近，佐治亚理工学院、伊利诺伊年夜 学和纽约年夜 学的研究人员揭橥 了一份研究申报 ，该申报 指出，进击 者能通过欺骗第三方告白 网络，实现通过用户浏览器浏览的网站上的告白 来窃取小我 隐私信息的目的。
除此之外，黑客不仅可以窃取用户的告白 ，还可以在告白 空间显示恶意告白 。这些告白 往往是重定向告白 （retargeted advertising），即依据 第三方告白 网络收集的浏览历史、位置数据和其他各类 因素为小我 量身定做。
也就是说，这些重定向告白 中含有许多小我 敏感信息。例如用户的性取向、宗教信仰、怀孕状况、旅行计划和在网上商店查看的物品等小我 信息都能一览无遗。
该研究目前已经以论文的形式进行了揭橥 。

论文链接：
https://dl.acm.org/doi/10.1145/3548606.3560641

进击 者与受害者的“身份纠缠”

定向告白 是目前的一种普遍做法，其中用户身份是核心。
一般来说，用于重定向告白 的用户信息由第三方告白 网络发送的cookies收集，并与一个奇特 的标识符，如电子邮件地址相关。告白 商能够借此创建  用户档案。然则 这些第三方告白 网络与用户没有关系，而是依靠外部各方如告白 商，来建立信任关系。
而正是这种庞杂 的信任关系，被进击 者利用起来混淆告白 网络，从而将无特权的进击 者的浏览器链接到受害者的身份，“冒充”告白 网络受害者。
基于此，研究人员提出了Advertising Identity Entanglement，一种从告白 网络远程提取特定用户浏览行为的漏洞，只知道受害者的电子邮件地址，无法拜访 受害者、告白 网络或网站。
跨设备跟踪中的这一缺陷允许进击 者将毛病 的身份信息传递给第三方告白 网络，导致网络混淆进击 者和受害者。如此，进击 者就会在整个告白 网络中收到针对受害者的告白 。
移花接木就这么完成了。

研究人员发明 ，这种“身份纠缠”是一个重要的用户隐私漏洞，进击 者可以在其中了解详细的受害者浏览活动，例如零售网站、产品  ，甚至是受害者与之交互过的特定公寓或酒店。

值得注意的是，这个漏洞也是双向的，进击 者能够向受害者展示特定的告白 ，从而引入为难 进击 和勒索的可能性。

甚至可以进行恶意告白 进击

一旦获得了用户的电子邮件地址，进击 者就会欺骗第三方告白 网络，为用户获取重定向告白 。

假设受害者在使用告白 商的网站时启用了JavaScript和cookies，比如  使用受害者的电子邮件地址，使第三方告白 网络将进击 者的设备识别为跨设备。如此进击 者的电脑就被添加为多个设备之一，得以拜访 各种网站。


而一旦被识别，这些设备会被视为受害者的额外设备，进击 者可以为受害者接收重新定位的告白 。如上所述，这些告白 包含  关于受害者的各类 信息，如他们的兴趣和偏好以及他们目前的状态。


那么，如何欺骗第三方告白 网络，使其从受害者的电子邮件地址中加入他们作为交叉设备呢？


论文中提到了两种办法 。第一，进击 者拜访 一个网站，在HTTP请求中编辑  电子邮件地址，即进击 者将自己的电子邮件地址替换成受害者的电子邮件地址。第二种是通过欺骗网站，使其在进击 者创建  账户时不验证用户的身份，给出受害者的电子邮件地址并虚假地将其认定为受害者来实现。


在这两种情况下，第三方告白 网络便无法区分受害者和进击 者的设备。

此类进击 具有侵犯隐私潜力，重视度仍有待提高

为了证明这种进击 行为的可行性，研究人员进行了一系列“盲”实验，即进击 者事先对受害者的行为或告白 没有任何了解。
通过第三方告白 网络放置的重定向告白 提取受害者小我 资料的浏览行为，研究人员除了受害者的电子邮件地址外，没有获得 关于受害者的任何信息。
除此之外，受害者浏览活动可以在网站和项目粒度提取，问题存在于整个告白 网络。

查询拜访 结果显示，第三方告白 网络使用了未经验证的商家身份信息。论文展示了此类进击 在实质上侵犯用户隐私方面的潜力，包含 其他告白 网络问题、漏洞全面范围  和潜在缓解办法 。
实验还揭示了年夜 量的隐私用户信息的泄露。在一些实验中，并不是所有受害者浏览活动都可以恢复。虽然研究人员希望进一步识别特定的用户浏览活动，但用户浏览行为泄露给只知道电子邮件地址的外部进击 者应该是弗成 能的，并且 该发明 指出了一个需要纠正的现实漏洞。
只是在认可 受到进击 后，Criteo在几个月里都没有采取  任何缓解办法 。这也恰好说明了此类修正与缓解广告网络进击 所面临的挑战。
对此你怎么看，欢迎在评论区留言讨论~
相关报道：https://www.itmedia.co.jp/news/articles/2211/22/news063.html