Odvrácená strana reklamy: Za méně než 20 tisíc může kdokoliv sledovat váš pohyb

To, že Facebook, Google, Apple a další firmy ve snaze přinášet uživatelům co nejrelevantnější reklamy sledují a shromažďují obrovské množství dat, novinkou není. Uživatelé se zároveň inzerentů bát nemusí – pro mnoho z nich jsou jednotlivci jen zrnkem v písku a zaměřují se na masy. Tahle představa se ale ukazuje jako mylná, už i za méně než 20 tisíc korun vás může sledovat kdokoliv.

To je jeden ze závěrů studie bezpečnostních vědců z Paul G. Allen School of Computer Science & Engineering na University of Washington publikovaných koncem loňského roku. „Kdokoliv, od zahraničních agentů po žárlivého partnera, se může snadno přihlásit do velké internetové reklamní společnosti a díky poměrně nízkému rozpočtu využít tenhle ekosystém na sledování chování jednotlivců,“ cituje portál Futurity Paula Vinese, hlavního autora studie.

Dřívější výzkum soukromí v souvislosti s online inzercí se zaměřoval zejména na chování lidí a cílenou reklamu – jak reklamní (a také sociální) sítě dokážou sledovat a oslovovat uživatele a jaké informace během tohoto procesu dokážou o uživatelích získat. Vědci si však položili otázku jinou: jaký druh informací dokážou jednotlivci o jiných uživatelích zjistit a kolik to stojí?

Ve zkratce dospěli ke třem závěrům:

  • Jednotlivcům s relativně malým rozpočtem (tisíc dolarů, tedy dvacet tisíc korun, a méně) a webem jsou přístupné rozmanité reklamní služby.
  • Reklamy mohou být použity jednotlivci kupujícími si je za účelem sledování lokace cíle, a to relativně v reálném čase (s desetiminutovým zpožděním).
  • Také mohou tyto reklamy nakupovat za účelem zjištění, jaké aplikace cíl používá a kdy (což pochopitelně platí pro aplikace s reklamami).

„Experimentovali jsme s jednou reklamní sítí, a pak prozkoumali mnoho dalších. Protože věříme, že náš výzkum upozorňuje na riziko v soukromí v celém odvětví, nejmenujeme konkrétní síť, na které experimenty probíhaly,“ dodávají autoři.

Mapa zobrazuje trasu dojíždění. Červené tečky jsou místa, kde bylo zaznamenáno zobrazení reklamy (domov, kavárna, autobusová zastávka a kancelář). Souvislá čára zobrazuje pěší posun, přerušovaná čára je dojíždění autobusem. Pro zachování soukromí vědci místo označující „domov“ změnili v rádiusu půl míle od skutečné polohy. Zdroj: University of Washington.

Jak to celé funguje

Reklamy mohou být na uživatele cíleny různým způsobem – od základních charakteristik, jako je věk nebo pohlaví, až po konkrétní parametry zařízení, jako je operační systém, IP adresa, lokace nebo takzvaný MAID (Mobile Advertising ID – pseudonáhodný unikátní kód používaný na mobilních zařízeních, něco jako cookies v prohlížečích).

Reklamní síť, se kterou vědci experimentovali, posílá inzerentům kontext, v němž se reklama uživateli zobrazila – tedy v které konkrétní aplikaci. Na základě dalšího zkoumání konkurenčních reklamních sítí bylo zjištěno, že tyto informace sdílejí všechny.

A jak konkrétně probíhá sledování polohy cílového uživatele? To se děje v několika krocích:

  • Prvním krokem umožňujícím sledovat pozici pomocí reklam je získání zmiňovaného MAID daného cíle zjištěním jeho network trafficu, což umožňuje specifikovat reklamy tak, aby se zobrazovaly jen na jednom zařízení.
  • Pak je potřeba vytvořit sérii reklam cílících na konkrétní MAID, ale každou z nich cílit na jinou GPS lokaci. To vytváří něco jako geografickou síť reklam (viz obrázek níže).
  • Na základě toho, které reklamy byly uživateli zobrazeny, je možné relativně přesně zjistit, kde a kdy se nacházel.

Diagram ukazuje koncept sledování polohy – modré body jsou individuální reklamy cílené na různé lokace. Červené body jsou reklamy, které byly uživateli zobrazeny, a fialová stezka pak naznačuje skutečný vývoj polohy cílového uživatele v prostoru. Zdroj: University of Washington.

Jak ale vědci dodávají, při výzkumu narazili na několik limitů. Cílový uživatel musel pořád využívat aplikace s reklamami a přesnost cílení je omezena na přibližně osm metrů. Uživatel navíc musí na daném místě zůstat alespoň pět minut, aby se mu v téhle lokalitě zobrazila reklama. Na reklamu nicméně uživatel nemusí vůbec kliknout, za tímto účelem stačí, aby mu byla zobrazena.

Potřeba vést diskuzi

„Protože bylo snadné udělat, co jsme udělali my, domníváme se, že je to otázka, o které musí reklamní průmysl přemýšlet. Naše objevy sdílíme, aby se reklamní sítě mohly pokusit odhalit a zmírnit tenhle typ útoků a aby mohla probíhat široká veřejná diskuze o tom, jak jim my jako společnost můžeme předcházet,“ vysvětluje spoluautor Franzi Roesner, ředitel univerzitní Security and Privacy Research Lab.

„Abych byl velmi upřímný, byl jsem šokován, jak je to efektivní,“ přiznává další z autorů Tadayoshi Kohno, profesor věnující se bezpečnostním otázkám produktů od automobilů po zdravotnická zařízení.

„Tenhle výzkum jsme provedli, abychom lépe porozuměli rizikům v soukromí při online reklamách. Existuje zásadní napětí mezi tím, jak inzerenti mohou lépe zaměřovat a sledovat lidi, aby jim ukázali lepší reklamy, a možností pro protivníky schopné tuto dodatečnou přesnost využívat. Je potřeba porozumět výhodám i rizikům technologií,“ doplňuje Kohno.

Diskuze k článku