Εκμετάλλευση του διαφημιστικού οικοσυστήματος με σκοπό την ταυτοποίηση συσκευών και τον γεωγραφικό εντοπισμό
Abusing mobile advertising ecosystems for device identification and geolocation
Προβολή/
Λέξεις κλειδιά
MAID ; ADINT ; Advertising intelligenceΠερίληψη
Η παρούσα διπλωματική εργασία επιχειρεί να αναδείξει τους κινδύνους που εμπεριέχονται από την κατάχρηση διαφημιστικών μηχανισμών, για σκοπούς παρακολούθησης χρηστών. Η τεχνική αυτή, γνωστή και ως Advertising Intelligence (ADINT), εξετάζεται και αναλύεται, όχι μόνο θεωρητικά, αλλά και μέσα από μια πειραματική υλοποίηση. Το Proof-of-Concept που σχεδιάστηκε αποδεικνύει τον τρόπο με τον οποίο ένας κακόβουλος χρήστης καταφέρνει να στοχοποιεί και να εντοπίζει συσκευές αξιοποιώντας μόνο open-source εργαλεία και native λειτουργίες των λειτουργικών συστημάτων έξυπνων συσκευών (smartphones).
Το σύστημα συλλέγει το Mobile Adverting ID (MAID) και εφαρμόζει τεχνικές fingerprinting, συνδυάζοντας χαρακτηριστικά της συσκευής με δεδομένα από τους αισθητήρες. Η ταυτοποίηση βασίζεται σε score-based σύστημα σύγκρισης, και εφόσον εντοπιστεί ομοιότητα, ενεργοποιείται η εμφάνιση ενός, φαινομενικά αθώου banner. Με το άγγιγμα του banner, το παιχνίδι, ή όποια εφαρμογή χρησιμοποιεί το σύστημα, αποκτά πρόσβαση στη γεωγραφική τοποθεσία μέσω των Android Location APIs, ακόμα κι αν ο χρήστης χρησιμοποιεί VPN. Για περιπτώσεις όπου η συσκευή δεν δίνει πρόσβαση στο GPS, υπάρχει ένας εναλλακτικός μηχανισμός εκτίμησης τοποθεσίας, μέσω μετρήσεων του latency και traceroute των ενδιάμεσων κόμβων, που λειτουργεί αθόρυβα στο παρασκήνιο.
Τα δεδομένα αποθηκεύονται σε βάση MySQL και επιτρέπουν την συσχέτιση MAID, καθώς επίσης γεωγραφικών και συμπεριφορικών δεδομένων. Η εργασία αναδεικνύει τις αδυναμίες των υπαρχόντων εργαλείων προστασίας προσωπικών δεδομένων (π.χ VPN, MAID reset), και προτείνει αντίμετρα τόσο σε τεχνικό επίπεδο όσο και σε ρυθμιστικό πλαίσιο.
Τέλος, η εργασία αυτή, αποτελεί απόδειξη πως, φαινομενικά αθώες εφαρμογές, όπως ένα απλό mobile παιχνίδι, μπορούν να μετατραπούν σε εργαλεία παρακολούθησης υψηλής ακρίβειας. Η γραμμή ανάμεσα στη διαφήμιση και την επιτήρηση είναι πλέον πολύ λεπτή. Αν δεν υπάρξει πιο αυστηρός έλεγχος στη χρήση διαφημιστικών SDKs και στις άδειες πρόσβασης σε ευαίσθητα APIs, η καθημερινότητα των χρηστών κινδυνεύει να γίνει ένα συνεχές πείραμα επιτήρησης, χωρίς οι χρήστες να το γνωρίζουν.