Kredit:Northeastern University
Ett fel i Facebooks annonsplattform gjorde det möjligt för potentiella hackare att avslöja användarnas telefonnummer, enligt ett dokument som presenterades av nordöstra docent Alan Mislove vid Federal Trade Commission-konferensen PrivacyCon förra månaden.
Facebooks annonssystem är otroligt effektivt för att rikta in sig på specifika målgrupper, vilket är det som har gjort företaget så lukrativt, Sa Mislove. Men eftersom vem som helst kan bli annonsör, och det är väldigt lite transparens i vilka annonser som placeras, plattformen "kan användas för obehagliga ändamål, " sa Mislove. Han visade hur i sin egen forskning.
I tidigare versioner av Facebooks annonsplattform, annonsörer kan rikta in sig på människor baserat på egenskaper och preferenser. Till exempel, ett företag som säljer vattentäta högtalare kan skapa annonser för män och kvinnor i åldrarna 16 till 40 som är intresserade av att simma, båtliv, eller vattensporter.
Facebook har uppdaterat systemet för att ge annonsörer möjlighet att skapa anpassade målgrupper baserat på en befintlig kundlista. Det betyder att ett företag kan ladda upp en databas med e -postadresser till Facebook, och plattformen kommer att hitta alla motsvarande användare på webbplatsen och visa dessa användare en annons.
Många Facebook-användare väljer att inte offentliggöra sina e-postadresser eller telefonnummer. Och Facebooks annonssystem är inte utformat för att låta annonsörer lära sig användarnas identiteter baserat på privat information. Men Mislove fann att genom att skapa flera anpassade målgrupper, han kunde korsreferera och matcha användare till deras privata information.
Mislove och hans kollegor uppmärksammade Facebook om felet. Det fixades, och forskarna fick $5, 000 genom bug bounty -programmet. Men annonsfunktionen är inte unik för Facebook, Mislove förklarade. LinkedIn, Twitter, och andra plattformar har liknande anpassade publikfunktioner. "Vår oro är att dessa kan vara oavsiktligt läckande information, "Mislove sa." Vi ville uppmärksamma komplexiteten i dessa system och hur de kan missbrukas. "
En annan nordöstlig grupp, ledd av doktoranden Michael Weissbacher, presenterade också forskning på PrivacyCon. Weissbacher visade att dussintals populära webbläsartillägg läckte användarnas webbhistorik.
Weissbacher och hans team skapade ett verktyg som heter Ex-Ray för att upptäcka dataläckor baserat på nätverkstrafik. De fann att ju större användarens webbläsarhistorik, ju mer data läckte ut. Ex-Ray identifierade 32 webbläsartillägg – som används av sammanlagt 8 miljoner människor – som aktivt läckte webbhistorikdata. Dessa inkluderade populära tillägg som AdBlocker för Google Chrome, och tala det, en text-till-tal-tillägg.
Weissbacher sa att Google tog bort många - men inte alla - av tilläggen från sin webbbutik efter att ha fått reda på att de läckte webbläsarhistorik. Han tillade att skaparna av dessa tillägg kanske inte har varit medvetna om att de läcker. Dock, webbutiken bör ta ansvar för att skanna tilläggen för att säkerställa att de är säkra, sa Weissbacher. Tills dess, han rekommenderar användare att ta bort tillägg som de inte använder regelbundet för att minska risken för integritetsintrång.
"Oavsett om läckorna sker med uppsåt eller av misstag, det exponerar fortfarande användaren, " sa Weissbacher.
Sekretess är också ett problem på mobila plattformar. Jingjing Ren, doktorand i datavetenskap, presenterade forskning på PrivacyCon som visar att vissa Android -applikationer har blivit mindre säkra med tiden. Hennes team upptäckte 13 appar som läckte ut användarnas personliga information i minst en version av appen.
"Ett anmärkningsvärt exempel är Pinterest, "Ren sa, hänvisar till en populär app för att ladda upp och spara en mängd innehåll. Pinterests mobilapp har cirka 140 miljoner aktiva användare. "I två versioner undersökte vi, appen skickade av misstag användarnas autentiseringsuppgifter till en okänd tredje part som verkade tillhandahålla användargränssnittstjänster för Pinterest."
Ren sa att utvecklarna på Pinterest fixade problemet inom en månad efter att hennes team hittade och avslöjade det. Dock, fyra andra appar— Meet24, FastMeet, Waplog, Period &ägglossningsspårare - har ännu inte åtgärdat sina sekretessläckor.
"I slutet av dagen, mobil integritet är fortfarande en pågående konversation bland konsumenter, apputvecklare, appdistributionsplattformar, utomstående, beslutsfattare, och andra intressenter, "Sa Ren.