Làm thế nào các ứng dụng theo dõi siêu âm có thể lắng nghe bạn và cách chặn chúng

Ứng dụng theo dõi siêu âm - chúng là gì và làm thế nào để bỏ chặn chúng


Theo dõi siêu âm sử dụng sóng âm thanh được thu nhận bởi micrô của thiết bị để thu thập dữ liệu, xác định chính xác vị trí của người dùng và hơn thế nữa. Phương pháp luận sử dụng âm thanh mà con người có thể nghe thấy, nhưng có thể được phát hiện bởi nhiều thiết bị khác nhau, chẳng hạn như điện thoại thông minh và máy tính bảng. Theo dõi này có thể được sử dụng cho nhiều mục đích khác nhau, bao gồm thu thập thông tin về từng người dùng trên các thiết bị và khám phá vị trí chính xác của bạn để phục vụ quảng cáo được nhắm mục tiêu của bạn.

Công nghệ này có thể hữu ích cho người dùng, ví dụ, bằng cách cung cấp cho bạn các giao dịch thời gian thực tại cửa hàng tạp hóa, nhưng nó có nhược điểm của nó. Có những lo ngại về quyền riêng tư rõ ràng với các ứng dụng truy cập micrô của thiết bị của bạn, đặc biệt là khi chúng làm như vậy mà không có sự cho phép rõ ràng. Những người đam mê quyền riêng tư cũng lo ngại về việc thiếu một tiêu chuẩn chung trong ngành và các vấn đề bảo mật bao gồm lỗ hổng của công nghệ để hack các nỗ lực.

Trong bài đăng này, chúng tôi giải thích chính xác theo dõi siêu âm là gì, cách thức hoạt động và những gì nó sử dụng để làm gì. Chúng tôi cũng sẽ thảo luận về ý nghĩa bảo mật và quyền riêng tư của theo dõi siêu âm và các bước bạn có thể thực hiện để chặn theo dõi siêu âm.

Theo dõi siêu âm là gì?

Sóng âm siêu âm là những sóng có tần số quá cao (thường trên 18 kHz) có thể nghe được bằng tai người. Ví dụ, tiếng còi chó phát ra âm thanh siêu âm, con chó có thể nghe thấy nó, mặc dù bạn có thể Gõ.

Trong vài năm qua, các nhà phát triển đã tìm thấy việc sử dụng các âm thanh này trong theo dõi thiết bị di động. Âm thanh được mã hóa với dữ liệu để tạo ra các đèn hiệu có thể được truyền từ bất kỳ loại loa nào và nhặt lên bởi một thiết bị nghe.

Các đèn hiệu có thể được nhúng trong các âm thanh hàng ngày như âm thanh của quảng cáo trên TV hoặc web. Chúng thậm chí có thể được xen kẽ vào âm nhạc mà bạn nghe thấy trong các cửa hàng và thang máy, hoặc phát sóng mà không có bất kỳ âm thanh bao phủ nào.

Bằng cách sử dụng micrô của thiết bị của bạn để nghe các đèn hiệu, các nhà sản xuất điện thoại và nhà phát triển ứng dụng có thể đưa chúng vào một loạt các mục đích sử dụng. Một số ứng dụng chung cho công nghệ này là:

  • Xây dựng hồ sơ người dùng: Bằng cách phát hiện các đèn hiệu được nhúng trong các trang web, quảng cáo và thậm chí các điểm đánh dấu vật lý, nhà quảng cáo có thể tạo hồ sơ về các hoạt động của bạn, cả trực tuyến và ngoại tuyến. Họ có thể theo dõi bạn trên các thiết bị và thậm chí hình thành liên kết giữa bạn và những người khác. Ví dụ: điện thoại của bạn nhận được đèn hiệu từ người bạn TV thông minh của bạn sẽ liên kết bạn với người đó.
  • Ghép nối thiết bị: Đèn hiệu siêu âm có thể tạo kết nối giữa các thiết bị, ví dụ, giữa điện thoại và thiết bị Chromecast.
  • Phát hiện tiệm cận: Công nghệ có thể phát hiện vị trí chính xác của bạn, chẳng hạn như trong cửa hàng. Điều này có thể được sử dụng cho các chuyến tham quan bảo tàng tự hướng dẫn hoặc để nhận ưu đãi tùy chỉnh khi bạn đi qua một phần cụ thể của cửa hàng.
  • Truyền dữ liệu: Theo dõi siêu âm không phụ thuộc vào wifi hoặc kết nối khác, do đó, nó có thể có nhiều ứng dụng tiềm năng trong trường hợp không có kết nối.

Trong khi một số trường hợp sử dụng này mang lại lợi ích cho khách hàng, thì những trường hợp khác lại có nguy cơ xâm phạm quyền riêng tư.

Mối quan tâm riêng tư với theo dõi siêu âm

Khái niệm về thiết bị của bạn theo dõi bạn bằng cách sử dụng âm thanh có thể không đáng tin, để nói rằng ít nhất. Các ứng dụng cần ghi lại âm thanh để phát hiện các đèn hiệu siêu âm, do đó, có một mối lo ngại rằng các âm thanh khác (ví dụ như các cuộc hội thoại) cũng có thể được ghi lại.

May mắn thay, quyền truy cập vào micrô của thiết bị của bạn yêu cầu sự cho phép rõ ràng của bạn, thường được yêu cầu khi bạn cài đặt ứng dụng lần đầu tiên. Thật không may, nhiều người dùng điện thoại thông minh và thiết bị khác quá tin tưởng và cấp quyền thường xuyên được yêu cầu bởi các ứng dụng mới được cài đặt mà không cho nó một ý nghĩ thứ hai.

Vì các ứng dụng chỉ cần âm thanh siêu âm, chúng có thể lọc ra các phần âm thanh của bản ghi, giảm thiểu các mối lo ngại về quyền riêng tư. Về lý thuyết, để bảo vệ quyền riêng tư của người dùng, tất cả các ứng dụng sử dụng theo dõi siêu âm nên thực hiện việc này. Tất nhiên, rất khó để xác nhận xem họ có thực hành lọc âm thanh cho quyền riêng tư của người dùng hay không. Và ngay cả khi chúng đang lọc, tùy thuộc vào loại bộ lọc đang được sử dụng, âm thanh đầy đủ (bao gồm cả âm thanh có thể nghe được) có thể cần được lưu trữ, mặc dù tạm thời.

Hoạt động này là bất hợp pháp ở một số nơi trên thế giới. Ví dụ, ở Úc, việc nghe lén, ghi âm, theo dõi hoặc nghe một cuộc trò chuyện riêng tư mà không có sự đồng ý rõ ràng của tất cả các bên là bất hợp pháp. Tuy nhiên, không có nghi ngờ gì về việc hậu cần của việc kiểm soát các luật như vậy sẽ khó khăn.

Vậy đâu là ngành công nghiệp đứng đầu về quyền riêng tư? Dưới đây là ba cột mốc đáng chú ý đã giúp định hướng hướng đi của nó:

  1. Tháng 3 năm 2016: Cảnh báo của Ủy ban Thương mại Liên bang (FTC) đã được ban hành cho các nhà quảng cáo sử dụng công nghệ theo dõi siêu âm SilverPush.
  2. Tháng 10 năm 2016: Một nghiên cứu cho thấy theo dõi siêu âm có thể được sử dụng để ghi đè lên quyền riêng tư dành cho trình duyệt Tor.
  3. Tháng 5 năm 2017: Một nghiên cứu của Đức tiết lộ hàng trăm ứng dụng Android đang sử dụng công nghệ theo dõi siêu âm, với nhiều chính sách bảo mật thiếu rõ ràng.

Hãy cùng xem xét từng sự kiện chi tiết hơn.

1. Cảnh báo FTC của SilverPush

Khi theo dõi siêu âm bắt đầu đạt được lực kéo vào năm 2016, một trong những công ty đi đầu trong xu hướng là SilverPush, nhà cung cấp phần mềm theo dõi thiết bị chéo. SilverPush có hoạt động tại 12 quốc gia và tự hào có danh sách khách hàng ấn tượng, bao gồm Coca Cola, Unilever, KFC và Leviftime.

Trang đối tác của SilverPush.

Công ty đã phát triển công nghệ theo dõi vào năm 2014 và dường như giành được thị phần trong vài năm sau đó. Một phiên bản phần mềm của họ đã sử dụng micro điện thoại thông minh để nghe các đèn hiệu được nhúng trong âm thanh của quảng cáo trên TV. Nhật ký nội dung TV được xem sau đó có thể được sử dụng trong phân tích và quảng cáo được nhắm mục tiêu.

Vào tháng 3 năm 2016, FTC đã gửi thư cảnh báo tới các nhà phát triển của 12 ứng dụng điện thoại tích hợp các thụ thể siêu âm SilverPush. Một đoạn trong bức thư đó có nội dung:

Ví dụ: mã được định cấu hình để truy cập micrô của thiết bị để thu thập thông tin âm thanh ngay cả khi ứng dụng không được sử dụng. Ngoài ra, ứng dụng của bạn yêu cầu quyền truy cập micrô của thiết bị di động trước khi cài đặt, mặc dù không có chức năng rõ ràng nào trong ứng dụng yêu cầu quyền truy cập đó.

Theo trang web SilverPush, nó không còn sử dụng theo dõi siêu âm trong các chiến dịch của mình:

Chúng tôi trước đó đã có một sản phẩm nhưng phát hiện quảng cáo trên sản phẩm của chúng tôi không hoạt động trên bất kỳ công nghệ tần số hoặc đèn hiệu nào có thể nghe được cho điện thoại thông minh [Riên]

Trang FAQ của SilverPush.

Không rõ liệu các nhà phát triển ứng dụng vi phạm đã thay đổi ứng dụng của họ hay chỉ đơn giản là kéo chúng ra khỏi thị trường. Tuy nhiên, việc FTC phát hành các bức thư đã thu hút được rất nhiều sự chú ý của giới truyền thông và đặt một điểm nhấn quan trọng vào SilverPush và công nghệ theo dõi siêu âm.

2. Theo dõi siêu âm để ghi đè lên quyền riêng tư của Tor

Một phát hiện liên quan là theo dõi siêu âm thậm chí có thể tiết lộ các hoạt động trên internet của những người thực hiện các biện pháp che giấu danh tính trực tuyến của họ. Việc sử dụng theo dõi siêu âm đã được chứng minh là một phương pháp để xác định người dùng của mạng Tor.

Trang chủ trình duyệt Tor.

Vụ hack này được phát hiện và chứng minh bởi các nhà nghiên cứu tại Đại học College London và Đại học California, Santa Barbara vào tháng 10 năm 2016.

Nghiên cứu tương tự cho thấy theo dõi thiết bị chéo siêu âm có thể được sử dụng để tiêm đèn hiệu âm thanh giả và rò rỉ thông tin cá nhân của người dùng.

Một trong những mối quan tâm chính của các nhà nghiên cứu này là cách thức ngớ ngẩn trong đó công nghệ siêu âm đang được triển khai.

Theo Giovanni Vigna, Giáo sư tại Đại học California, Santa Barbara (UCSB):

[V]] để siêu âm hoàn toàn không được kiểm soát gây ra sự nhầm lẫn và việc triển khai bị thiếu sót vì chúng là quảng cáo. Có những rủi ro sẽ trở nên tồi tệ hơn nếu không được tiêu chuẩn hóa.

Họ đề xuất rằng các hệ điều hành có thể kết hợp một phương pháp tiêu chuẩn phục vụ để cải thiện sự riêng tư và bảo mật theo dõi siêu âm. Tuy nhiên, một tiêu chuẩn như vậy vẫn chưa được thông qua.

3. Nghiên cứu ứng dụng Android của Đức

Một báo cáo từ Đại học Kỹ thuật Đức Braun Braunschweig [PDF], được xuất bản vào tháng 5 năm 2017, đã tiết lộ việc phát hiện ra 234 ứng dụng Android có tích hợp các thụ thể siêu âm. Không phải tất cả các ứng dụng này đều có sự tham gia và chủ sở hữu thiết bị lưu trữ có thể không biết rằng điện thoại của họ đang theo dõi hoạt động của họ.

Trước nghiên cứu này, Google đảm bảo với người dùng rằng họ đã xóa mọi ứng dụng vi phạm khỏi cửa hàng hoặc đảm bảo các nhà phát triển cập nhật chính sách bảo mật của họ theo đó.

Tiêu đề về nghiên cứu Android của Đức.

Google hiện quy định rằng các nhà phát triển phải nêu rõ chính sách bảo mật của họ khi đèn hiệu siêu âm đang được sử dụng và mục đích của chúng là gì. Các chính sách chặt chẽ hơn có thể đóng vai trò ngăn chặn các nhà phát triển sử dụng công nghệ, do đó, không có gì ngạc nhiên khi việc sử dụng theo dõi siêu âm trong quảng cáo đã không còn được ưa chuộng, ít nhất là công khai.

Tín hiệu siêu âm có an toàn không?

Bên cạnh những lo ngại về quyền riêng tư, có những vấn đề xung quanh tính bảo mật của theo dõi siêu âm.

Việc truyền và tiếp nhận các đèn hiệu phải diễn ra gần như ngay lập tức để công nghệ có hiệu quả. Điều này để lại rất ít thời gian để xác thực và mã hóa. Quay vòng nhanh có nghĩa là nhiều tương tác được thực hiện mà không cần xác thực danh tính và dữ liệu được chuyển tiếp ở định dạng không được mã hóa.

Điều này mở cửa cho tin tặc ai có thể thao túng thông tin liên lạc. Một ví dụ trong thế giới thực về một cuộc tấn công theo dõi siêu âm liên quan đến đèn hiệu được phát liên tục để làm lệch dữ liệu. Các hành vi lạm dụng khác có thể bao gồm chặn các chi tiết tài khoản ngân hàng trên các hệ thống báo hiệu instore, giả mạo mã vé, đánh cắp tín dụng cửa hàng và thẻ quà tặng và truyền dữ liệu sai lệch.

Năm 2017, các nhà nghiên cứu tại Đại học Chiết Giang, Trung Quốc đã phát triển DolphinAttack [PDF]. Đây là một phương pháp để có quyền truy cập vào các thiết bị thông minh và các thiết bị IoT khác thông qua các trợ lý ảo được kích hoạt bằng giọng nói, như Siri, Alexa và Google Assistant.

Các nhà nghiên cứu đã có thể gửi lệnh thoại không thể nghe được của con người tới Amazon Echo và iPhone. Các thiết bị này cung cấp quyền truy cập vào trình duyệt web trên các thiết bị kết nối internet khác, cho phép kẻ tấn công mở các trang web bị nhiễm.

Một chiến lược như vậy có thể được sử dụng để giới thiệu phần mềm độc hại không tên, chẳng hạn như hệ thống theo dõi, trình tạo nhấp chuột, phần mềm gián điệp, bộ điều khiển botnet và keylogger. Nó cũng có thể được sử dụng để điều khiển các thiết bị như trợ lý gia đình và thậm chí có thể là hệ thống an ninh.

Ai sử dụng theo dõi siêu âm?

Với rất nhiều rủi ro về quyền riêng tư và bảo mật, công nghệ này đã được sử dụng nhiều như dự kiến ​​ban đầu. Tuy nhiên, vẫn còn nhiều công ty sử dụng theo dõi siêu âm ở một số hình dạng hoặc hình thức. Đây là vài ví dụ:

Mua sắm

Shopkick theo dõi người mua hàng khi họ đi qua các cửa hàng và cung cấp điểm thưởng. Điểm được tự động tích lũy trên ứng dụng điện thoại khi nó vượt qua đèn hiệu.

Trang chủ Shopkick.

Lisnr

Lisnr chuyên bán vé và truyền thanh toán. Cũng như Shopkick, ứng dụng này yêu cầu sự tham gia của khách hàng và không phải là hệ thống theo dõi bí mật.

Google lân cận

Google Recent là một tính năng hữu ích cho phép bạn giao tiếp với các thiết bị gần đó. Nó dựa vào sự kết hợp giữa tín hiệu siêu âm, Bluetooth và wifi để thiết lập sự gần gũi.

Trang chủ Google lân cận.

Người hâm mộ

Fanpictor sản xuất một ứng dụng cho sự tham gia của khán giả tại các chương trình và sự kiện thể thao. Điều này sử dụng tín hiệu siêu âm để phối hợp điện thoại của các thành viên trong khán giả và tạo ra một màn trình diễn ánh sáng, như được minh họa trong video dưới đây.

Nút Dash của Amazon

Mặc dù phiên bản vật lý của sản phẩm này đã bị ngừng sản xuất, một số đơn vị hiện có vẫn đang được sử dụng. Nút Dash của Amazon có thể được sử dụng để sắp xếp lại các vật dụng gia đình thông thường chỉ bằng cách ấn nút và sử dụng tín hiệu siêu âm để liên lạc với thiết bị của bạn.

Nút Dash của Amazon.

Cách chặn theo dõi siêu âm

Hệ thống phòng thủ chính của bạn chống lại theo dõi siêu âm là cảnh giác. Mặc dù mọi thiết bị máy tính có micrô đều có nguy cơ, mục tiêu chính của các hệ thống này là điện thoại thông minh và quyền truy cập được hỗ trợ bởi các ứng dụng nghe. Dưới đây là một số mẹo để tránh theo dõi siêu âm.

1. Don mệnh cấp quyền truy cập vào micrô của bạn

Mặc dù bạn có thể vội vàng sử dụng một ứng dụng, nhưng bạn luôn phải suy nghĩ kỹ trước khi cấp quyền, đặc biệt là đối với những thứ như micrô và máy ảnh của bạn. Lưu ý rằng một số ứng dụng có thể không hoạt động nếu bạn không cấp cho tất cả các quyền, do đó bạn có thể buộc phải đưa ra quyết định về tầm quan trọng của hoạt động của ứng dụng đó đối với bạn.

Ngoài việc thực hiện lời khuyên này cho các lần cài đặt trong tương lai, bạn cũng có thể muốn kiểm tra các quyền ứng dụng hiện có của mình. Bạn có thể xem hướng dẫn của chúng tôi để bảo vệ quyền ứng dụng Android và iOS để biết thêm thông tin.

2. Đọc chính sách bảo mật một cách cẩn thận

Hãy để đối mặt với nó, tất cả chúng ta ghét đọc chính sách bảo mật. Nhưng thực tế là, chúng chứa rất nhiều thông tin quan trọng. Kiểm tra xem có đề cập đến việc sử dụng micrô điện thoại của bạn hay không và sử dụng cho mục đích gì. Đặc biệt cảnh giác với các chính sách đề cập đến micrô hoặc âm thanh không có ý nghĩa cho ứng dụng cụ thể đó.

Xin lưu ý rằng các nhà phát triển ứng dụng thường sử dụng ngôn ngữ thay thế trong chính sách của họ để điều đó khó khăn hơn trong việc phát hiện các thực tiễn đáng ngờ. Ví dụ, có thể sử dụng âm thanh không nghe được, có thể được sử dụng thay vì theo dõi siêu âm.

Cũng lưu ý rằng các quy trình sàng lọc của cửa hàng ứng dụng won luôn nắm bắt các chính sách vi phạm, do đó, một ứng dụng vi phạm (không tiết lộ việc sử dụng siêu âm trong chính sách của mình) có thể bị bỏ qua. Trong trường hợp này, nó thậm chí còn quan trọng hơn để xem xét những quyền nào đang được yêu cầu.

3. Xem ra các bản vá hoặc phần mở rộng có thể

Trước đây, các nhà phát triển đã đưa ra nhiều công cụ khác nhau giúp người dùng tránh theo dõi siêu âm. Ví dụ: tiện ích mở rộng SilverDog Chrome được phát hành năm 2017 hoạt động như một tường lửa âm thanh để chặn các đèn hiệu siêu âm. Và PilferShush là một ứng dụng Android lắng nghe tần số cực cao để cảnh báo bạn khi một ứng dụng có thể đang sử dụng chúng.

Điều đó đang được nói, sự phát triển của các loại ứng dụng này nổi bật hơn khi có nhiều sự cường điệu xung quanh SilverPush và nghiên cứu ứng dụng Android của Đức. Mọi thứ dường như đã chậm lại kể từ đó và chúng tôi không thực sự thấy bất kỳ ứng dụng hoặc tiện ích mở rộng nào được thiết kế cho thị trường đại chúng. Chúng ta có nên bắt đầu thấy sự gia tăng trong việc áp dụng công nghệ siêu âm, tuy nhiên, không còn nghi ngờ gì nữa, sự phát triển ứng dụng sẽ đi theo.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map