Gezieltes Tracken von Personen mit Werbung – Who is watching you?
How Alice Can Buy Ads to Track Bob
Smartphones verraten häufig eine ganze Menge über das Nutzungsverhalten ihres Besitzers. Sie wissen genau, wann es Zeit ist, die passende Werbung parat zu halten und wann es sich lohnt, während des Einkaufsbummels auf Rabatte im Lieblingsshop aufmerksam zu machen.
Online hinterlassen wir täglich eine Menge von Datenfragmenten und bilden so die Grundlage für das Advertising Ecosystem und im Handumdrehen werden die Daten von werbetreibenden Unternehmen mithilfe modernster Netzwerktechnologien verarbeitet. Die Ergebnisse lassen Rückschlüsse auf persönliche Vorlieben oder Aufenthaltsorte zu. Auf diese Weise entsteht eine virtuelle Persönlichkeit und die könnte mit dem Nutzer in Verbindung gebracht werden. Dem durchschnittlichen Verbraucher sind die Vorgehensweisen der Unternehmen und deren Folgen häufig unbekannt oder die Datenverarbeitung wird als das notwendige Übel und als der Preis für das Vernetzt-Sein hingenommen.
Doch was passiert, wenn diese Daten in die falschen Hände geraten, wenn jemand die Daten gar nicht zum Ausspielen von Werbung nutzen, sondern einfach nur herausfinden möchte, welche Route die Zielperson zur Arbeit wählt? „Warum sollte das jemand machen?“, mag sich nun so mancher fragen. Die Motive können unterschiedlicher Natur sein, doch zahlreiche denkbare Szenarien muten schlicht und ergreifend beängstigend an. Sind es also gar nicht die großen Daten verarbeitenden Unternehmen, von denen eine Gefahr für Nutzer ausgeht, sondern sind es am Ende einzelne Personen mit ganz eigenen Motiven, vor denen wir uns fürchten müssen?
Paul Vines, University of Washington: "But the potential person using this information isn't some large corporation motivated by profits and constrained by potential lawsuits. It can be a person with relatively small amounts of money and very different motives.“
Eine neue Studie der „Paul G. Allen School of Computer Science & Engineering, University of Washington“ unter der Leitung von Paul Vines untersuchte kürzlich ebendiese Frage, ob auch Dritte, vornehmlich Privatpersonen, durch den Kauf von Ads Zugriff auf die privaten Daten anderer Nutzer erhalten können.
„ (…) there exist other threats — threats in which regular people, not just impersonal, commercially-motivated merchants or advertising networks — can exploit the online advertising ecosystem to extract private information about other people, such as people that they know or that live nearby.“ (Studie: Exploring ADINT)
Unter dem Titel „Exploring ADINT: Using Ad Targeting for Surveillance on a Budget – or – How Alice Can Buy Ads to Track Bob“ konnte das Forscherteam tatsächlich zeigen, wie leicht eine Smartphone-App und darin geschaltete Werbung zur privaten Überwachung einer Person missbraucht werden kann – und das für rund 1000 Dollar.
Wie kommt die Werbung in’s Smartphone? Die Funktionsweise im Überblick
Voraussetzung ist, dass der Nutzer eine App benutzt, die „Ads“ zulässt. Ist dies der Fall, verfügt der Hersteller der App über sogenannte „Ad-Libraries“. Die „Ad-Libraries“ werden von einer „Supply-Side-Plattform/Sale-Side-Plattform (SSP)“ zur Verfügung gestellt. Diese verwaltet die „Ad-Libraries“ und erleichtert den Verkauf von „Ads“ für die entsprechende „Ad-Library“, indem sie die zur Verfügung gestellte Kapazität des App-Anbieters an eine sogenannte „Demand-Side-Plattform (DSP)“ versteigert. „Ads“ erfüllen ihren Zweck am besten, wenn sie für den Nutzer genau zugeschnitten sind.
Je mehr spezifische Informationen die „SSP“ einer „DSP“ über den Nutzer liefern kann, desto höher fällt das Gebot in der Versteigerung aus. Die relevanten Informationen erhält die „SSP“ aus der „Ad-Library“ und diese wiederum generiert die Informationen anhand der übermittelten „Mobile-Advertisting-ID (MAID)“ der Endgeräte.
„The MAID is a pseudorandom identifier to uniquely identify a particular device for advertising, similar to the way Tracking Cookies are used in browsers.“
Es gibt verschiedene Wege die „MAID“ eines Endgerätes zu identifizieren: Entweder wird der Datenverkehr aus dem Gerätespeicher herausgelesen, oder man analysiert die Mobilfunkdaten des Gerätes selbst. Mit letzteren Methode arbeiteten auch die Wissenschaftler um Paul Vines. Klickt eine Zielperson auf eine „Ad“ in ihrer Smartphone-App, wird sie auf die „Landingpage“ weitergeleitet. Gleichzeitig wird die „MAID“ des Endgerätes übertragen, ähnlich einem Cookie. Einige Apps ermöglichen auch „Ads“ in JavaScript, wodurch eine Interaktion des Nutzers für die Datenübertragung entbehrlich wird. Anhand der „MAID“ können an das entsprechende Endgerät angepasste „Ads“ eingespielt werden.
Die „DSP“ kauft schließlich für die Werbetreibenden die entsprechenden Werbekapazitäten in den „Ad-Libraries“ und betreibt damit zielgruppengenaue Werbung in fremdem Namen. Durch diesen zielgerichteten Verkauf entstehen nutzerspezifische Informationen. Paul Vines und sein Forscherteam nannten die durch den Verkauf von „Ads“ entstandenen Informationen „ADINT“ (advertising-based intelligence).
Das Forschungsteam setzte für seine Untersuchung zehn Moto G Android-Telefone, einen Mobile-Werbebanner und eine Website als Landingpage ein. Nachdem die Summe von 1000 Dollar an die DSP gezahlt wurde, standen für die Werbeplatzierung Plattformen wie Facebook, Google AdWords, MediaMath und Centro bereit. Zusätzlich konnte sich das Forschungsteam aussuchen, wo, für wen und in welchen Apps die Werbung erscheinen soll, gewählt wurde die Chat-App Talkatone. Welche Demand-Side-Plattform (DSP) das Team dabei verwendet hat, gibt die Studie nicht an.
Den Wissenschaftlern der University of Washington war es möglich, über ihre DSP ein geografisches Netz aus koordinatenbasierenden Ads zu kreieren. Für die Forschungsarbeit wurde eine etwa rund fünf Quadratkilometer große Zone in Seattle ausgewählt. Jedes Mal, wenn auf einem Smartphone in der festgelegten Zone die App Talkatone geöffnet wurde, wurde die Werbung auf dem Gerät angezeigt, die für die entsprechenden GPS-Koordinaten vorgesehen war. Die DSP versorgte die Forschergruppe anschließend mit Daten wo, wann, und auf welchem Smartphone die Werbung gerade angezeigt wurde. Kostenpunkt: 2 Cent pro geladene Werbeanzeige inklusive Berichterstattung.
„Anyone from a foreign intelligence agent to a jealous spouse can pretty easily sign up with a large internet advertising company and on a fairly modest budget use these ecosystems to track another individual’s behavior.” (Paul Vines, University of Washington)
Mit dieser Vorgehensweise war das Team in der Lage, die Standorte ihrer Test-Smartphones mit einer Genauigkeit von etwa sieben Metern zu bestimmen, vorausgesetzt, der Nutzer öffnete an einem Standpunkt die App für ungefähr vier Minuten, oder startete sie innerhalb dieser Zeitspanne zweimal. Die Standortinformation durch die DSP erfolgte lediglich mit sechsminütiger Verzögerung. Das tat der Sache jedoch keinen Abbruch: Nach einer siebentägigen Testphase konnten die Forscher problemlos den Wohnort und die Arbeitsstätte der Zielperson identifizieren.
Das Verfolgen, das Tracken einer Person ist also theoretisch möglich. Allerdings würde sich diese Methode für die engmaschige Observation einer Person als eher ungeeignet erweisen, da sie von einigen Faktoren abhängig ist, die der Überwachende nicht hinreichend beeinflussen kann. Zum einen ist er darauf angewiesen, dass die Zielperson ihre App durchweg geöffnet hat oder sie zumindest häufig öffnet. Zudem muss er die MAID des Endgerätes erst der entsprechenden Person zuordnen können. Aber dennoch: Wo ein Wille ist, ist auch ein Weg und die zu überwindenden Hürden sind nicht sonderlich groß.
„It’s not a particularly high bar to entry for a very, very highly targeted attack“ (Adam Lee, University of Pittsburgh)
Wie bestehende Sicherheitsrisiken vermieden werden können
Es liegt auf der Hand, dass auch Dienstanbieter der DPS zur Lösung des Problems beitragen könnten. Auffällige Werbeaktivitäten, die sich wiederholt an einzelne, individuelle Endgeräte richten, sollten erkannt und unterbunden werden. Zudem sollten MAIDs verschlüsselt übertragen werden, um sie so vor unbefugtem Zugriff zu schützen.
Wer sich selbst aktiv vor solchen Attacken schützen möchte, kann einige Grundregeln beachten. Offene WLAN-Spots, gilt es grundsätzlich zu meiden. Andere Nutzer innerhalb des gleichen Netzwerkes können ohne große Mühe die MAIDs der anderen Endgeräte innerhalb des Netzwerkes erlangen und unter Umständen auch einer konkreten Person zuordnen. Die meisten Apps bieten in der Regel zudem eine Premiumversion ihres Services gegen Entgelt an – dafür ohne die durchaus lästigen Ads. Diese können der normalen App vorgezogen werden. Auch der regelmäßige Reset der MAID des benutzten Endgerätes kann vor einer unerwünschten Verfolgung und Datenspionage schützen.
