Як ультразвукові програми відстеження можуть слухати вас і як їх заблокувати

Програми ультразвукового відстеження - що це таке і як їх розблокувати

Ультразвукове відстеження використовує звукові хвилі, які піднімаються мікрофонами пристрою для збору даних, визначення місця розташування користувача тощо. Методика використовує звуки, які люди не можуть почути, але їх можна виявити на різних пристроях, таких як смартфони та планшети. Це відстеження може використовуватися для різних цілей, включаючи збір інформації про окремих користувачів на різних пристроях та виявлення вашого точного розташування для показу націлених оголошень.

Ця технологія може бути корисною для користувачів, наприклад, пропонуючи вам пропозиції в режимі реального часу в продуктовому магазині, але вона має свої падіння. Програми, які отримують доступ до мікрофона вашого пристрою, мають очевидні проблеми конфіденційності, особливо якщо вони роблять це без явного дозволу. Любителі конфіденційності також стурбовані відсутністю універсального стандарту в галузі, і питання безпеки стосуються вразливість технології до спроб злому.

У цій публікації ми пояснимо, що саме таке ультразвукове відстеження, як воно працює та для чого він використовується. Ми також обговоримо наслідки конфіденційності та безпеки для ультразвукового відстеження та кроки, які можна вжити для блокування ультразвукового відстеження.

Що таке ультразвукове відстеження?

Ультразвукові звукові хвилі – це такі, які мають занадто високу частоту (як правило, вище 18 кГц), щоб чути людське вухо. Наприклад, свист собаки видає ультразвукові звуки – собака може їх чути, навіть якщо ви не можете.

В останні кілька років розробники знайшли використання для цих звуків у відстеженні мобільних пристроїв. Звуки кодуються даними для створення маяків, які можуть передаватися з будь-якого типу динаміків та підхоплений слухаючим пристроєм.

Маяки можна вбудовувати в повсякденні звуки, такі як аудіо телевізора або веб-реклами. Вони навіть можуть переплітатися з музикою, яку ви чуєте в магазинах та ліфтах, або транслюєтесь без будь-яких звуків.

Використовуючи мікрофон вашого пристрою для прослуховування маяків, виробники телефонів та розробники додатків можуть використовувати їх для широкого використання. Деякі загальні програми для цієї технології:

  • Створення профілів користувачів: Виявляючи маяки, вбудовані у веб-сторінки, рекламу та навіть фізичні маркери, рекламодавці можуть створити профіль вашої діяльності як в Інтернеті, так і в автономному режимі. Вони можуть відстежувати вас на різних пристроях і навіть формувати зв’язки між вами та іншими людьми. Наприклад, ваш телефон, який приймає маяк від смарт-телевізора вашого друга, зв’язав би вас із цією людиною.
  • Парування пристрою: Ультразвукові маяки можуть створювати з’єднання між пристроями, наприклад, між телефоном та пристроєм Chromecast.
  • Виявлення близькості: Технологія може визначити ваше точне місцезнаходження, наприклад, у магазині. Це можна використати для екскурсій по музеях, а також для отримання спеціальних пропозицій, коли ви проходите через певний розділ магазину.
  • Передача даних: Ультразвукове відстеження не покладається на Wi-Fi або інше підключення, тому воно може мати широкий спектр потенційних можливостей у випадках, коли з’єднання недоступні.

Хоча деякі з цих випадків використання приносять користь клієнтам, інші несуть ризик вторгнення в конфіденційність.

Питання конфіденційності при ультразвуковому відстеженні

Концепція того, що ваш пристрій відстежує вас за допомогою звуків, може сказати, по меншій мірі, нервуючи. Програми повинні записувати звук, щоб виявити ультразвукові маяки, тож існує занепокоєння, що можуть записуватися й інші звуки (наприклад, розмови).

На щастя, доступ до мікрофона вашого пристрою вимагає вашого експрес-дозволу, як правило, просять під час першого встановлення програми, про яку йдеться. На жаль, багато користувачів смартфонів та інших пристроїв занадто довірливі та часто надайте дозволи запитували щойно встановлені додатки, не замислюючись про це.

Оскільки додаткам потрібні лише ультразвукові звуки, вони можуть відфільтрувати звукові частини записів, зводячи до мінімуму проблеми конфіденційності. Теоретично, щоб захистити конфіденційність користувачів, це повинні робити усі програми, що використовують ультразвукове відстеження. Звичайно, важко підтвердити, чи практикують вони фільтрування аудіо для конфіденційності користувача. І навіть якщо вони фільтрують, залежно від типу фільтра, який використовується, повний аудіо (включаючи звукові звуки), можливо, потрібно буде зберігати, хоча і тимчасово.

Ця діяльність є незаконною у деяких частинах світу. Наприклад, в Австралії заборонено “підслуховувати, записувати, відстежувати або слухати приватну розмову” без явної згоди всіх сторін. Однак, немає сумнівів, що логістика здійснення таких законів буде складною.

Тож куди спрямовується галузь з точки зору конфіденційності? Ось три помітні віхи, які допомогли сформувати його напрямок:

  1. Березень 2016 року: Попередження Федеральної торгової комісії (FTC) були видані рекламодавцям, що використовують ультразвукову технологію відстеження SilverPush.
  2. Жовтень 2016: Дослідження показало, що ультразвукове відстеження може бути використане для зміни конфіденційності, наданого браузером Tor.
  3. Травень 2017: Німецьке дослідження показало, що сотні програм Android використовували ультразвукову технологію відстеження, багатьом не вистачало чіткої політики конфіденційності.

Давайте розглянемо кожну з цих подій детальніше.

1. Попередження FTC SilverPush

Коли ультразвукове відстеження почало набирати тягу в 2016 році, однією з компаній, на випереджальній тенденції якої став SilverPush, постачальник програмного забезпечення для перехресного контролю пристроїв. SilverPush працює в 12 країнах і може похвалитися вражаючим списком клієнтів, включаючи Coca Cola, Unilever, KFC та Levi’s.

Сторінка партнерів SilverPush.

Компанія розробила свою технологію відстеження у 2014 році та, здається, здобула частку ринку в наступні пару років. Одна версія їх програмного забезпечення використовувала мікрофони смартфонів для прослуховування маяків, вбудованих в аудіо телевізійних реклам. Потім журнали телевізійного контенту можуть бути використані в аналітиці та цільовій рекламі.

У березні 2016 року FTC розіслала попереджувальні листи розробникам 12 телефонних додатків, які інтегрували ультразвукові рецептори SilverPush. Один абзац у цьому листі гласив:

Наприклад, код налаштований для доступу до мікрофона пристрою для збору звукової інформації навіть коли додаток не використовується. Крім того, ваша програма вимагає дозволу на доступ до мікрофона мобільного пристрою перед встановленням, незважаючи на відсутність очевидних функціональних можливостей у програмі, які потребували б такого доступу.

За даними веб-сайту SilverPush, він більше не використовує ультразвукове відстеження у своїх кампаніях:

Раніше ми мали продукт, але виявлення реклами нашого продукту не працює за будь-якою нечутною частотою або маяковою технологією для смартфонів […]

Сторінка FAQ про SilverPush.

Незрозуміло, чи змінили розробники програм, які їх ображають, або просто витягли їх з ринку. Однак випуск листів FTC привернув багато уваги засобів масової інформації та поставив критичну увагу на SilverPush та ультразвукову технологію відстеження..

2. Ультразвукове відстеження, виявлене для порушення конфіденційності Tor

Одним з приводу відкриття було те, що ультразвукове відстеження може навіть виявити діяльність в Інтернеті тих, хто вживає заходів для приховування своєї ідентичності в Інтернеті. Використання ультразвукового відстеження було доведено як метод ідентифікації користувачів мережі Tor.

Домашня сторінка браузера Tor.

Цей злом виявили та продемонстрували дослідники з Університетського коледжу Лондона та Каліфорнійського університету в Санта-Барбарі в жовтні 2016 року.

Це ж дослідження встановило, що ультразвукове відстеження крос-пристроїв можна використовувати для введення підроблених аудіомаяків та витоку приватної інформації користувачів.

Однією з головних проблем цих дослідників був випадковий спосіб впровадження ультразвукової технології.

За словами Джованні Віньї, професора Каліфорнійського університету в Санта-Барбарі (UCSB):

[…] Залишення ультразвуку повністю неперевіреним викликає плутанину, а реалізація є помилковою, оскільки вони є спеціальними. Є ризики, які лише стануть гіршими без стандартизації.

Вони припускають, що операційні системи можуть включати стандартну методологію, яка служить для покращення конфіденційності та безпеки ультразвукового спостереження. Однак такий стандарт ще не прийнятий.

3. Німецьке вивчення додатків для Android

У доповіді німецького Технічного університету Брауншвейга [PDF], опублікованому в травні 2017 року, було виявлено відкриття 234 додатків для Android, які включали ультразвукові рецептори. Не всі ці додатки брали участь у власності, і власники хостинг-пристроїв, можливо, не знали, що їхні телефони відстежують їхню діяльність.

Після цього дослідження Google запевнив користувачів, що видалив із магазину будь-які програми, що порушують права, або запевнив, що розробники відповідно оновили свою політику конфіденційності.

Заголовок про німецьке дослідження Android.

Google тепер визначає, що розробники повинні чітко вказати у своїй політиці конфіденційності коли використовуються ультразвукові маяки та яке їх призначення. Більш жорстка політика, ймовірно, виступала стримуючим фактором для розробників, що використовують цю технологію, тому не дивно, що використання ультразвукового відстеження в рекламі з тих пір вийшло з ласки, принаймні публічно.

Чи захищені ультразвукові сигнали?

Крім проблем щодо конфіденційності, існують проблеми, пов’язані з безпекою ультразвукового відстеження.

Передача та прийом маяків повинні відбуватися майже миттєво, щоб технологія була ефективною. Це залишає дуже мало часу для аутентифікації та шифрування. Швидкий поворот означає, що багато взаємодій виконуються без автентифікації ідентифікації, а дані передаються в незашифрованому форматі.

Це залишає двері відкритими для хакерів хто може маніпулювати комунікаціями. Один з реальних прикладів ультразвукової атаки відстеження включав маяк, який неодноразово відтворювався, щоб скасувати дані. Інші зловживання можуть включати перехоплення реквізитів банківського рахунку в системах зберігання сигналів, підроблені коди квитків, крадіжки кредитних магазинів та подарункових карток, а також передачу неправдивих даних.

У 2017 році дослідники університету Чжецзян у Китаї розробили DolphinAttack [PDF]. Це був спосіб отримати доступ до розумних приладів та інших пристроїв IoT через активовані голосовими віртуальними помічниками, такими як Siri, Alexa та Google Assistant.

Дослідники змогли надсилати голосові команди, які не чують людей, на Amazon Echo та iPhone. Ці пристрої надають доступ до веб-браузерів на інших підключених до Інтернету пристроях, дозволяючи зловмисникам відкривати заражені веб-сайти.

Така стратегія може бути використана для впровадження зловмисних програм без файлів, таких як системи відстеження, генератори кліків, шпигунське програмне забезпечення, контролери ботнетів та кейлоггери. Він також може використовуватися для управління пристроями, такими як домашні помічники і, можливо, навіть системи безпеки.

Хто використовує ультразвукове стеження?

Маючи стільки ризиків для конфіденційності та безпеки, ця технологія не отримала такого загального використання, як спочатку очікувалося. Однак є ще багато компаній, які використовують ультразвукове відстеження в якійсь формі або формі. Ось кілька прикладів:

Shopkick

Shopkick відстежує покупців, проходячи через магазини та пропонує подарункові очки. Очки автоматично накопичуються в додатку телефону під час передачі маяків.

Домашня сторінка Shopkick

Ліснр

Lisnr спеціалізується на передачі квитків та оплаті. Як і у Shopkick, цей додаток вимагає участі клієнтів і не є прихованою системою відстеження.

Google поблизу

Google Nearby – це корисна функція, яка дозволяє спілкуватися з прилеглими пристроями. Для встановлення близькості він покладається на комбінацію ультразвукової сигналізації, Bluetooth та wifi.

Домашня сторінка Google поблизу.

Фанпіктор

Fanpictor виробляє додаток для участі глядачів у шоу та спортивних заходах. Для цього використовується ультразвукова сигналізація для координації телефонів членів аудиторії та створення світлого шоу, як показано на відео нижче.

Кнопки Amazon Dash

Незважаючи на те, що фізична версія цього продукту припинена, деякі існуючі блоки все ще використовуються. Кнопки Amazon Dash можна використовувати для впорядкування звичайних предметів побуту одним натисканням кнопки та використання ультразвукової сигналізації для спілкування зі своїм пристроєм.

Кнопки Amazon Dash.

Як заблокувати ультразвукове відстеження

Ваша основна система захисту від ультразвукового відстеження – це пильність. Хоча кожен комп’ютеризований пристрій з мікрофоном перебуває під загрозою, головна ціль цих систем – смартфон, і доступ до них сприяє прослуховуванню програм. Ось кілька порад щодо уникнення ультразвукового відстеження.

1. Не надайте доступ до свого мікрофона

Хоча ви можете поспішати користуватися додатком, завжди важливо подумати над тим, як надати дозволи, особливо для таких речей, як ваш мікрофон і камера. Зауважте, що деякі додатки можуть не працювати, якщо ви не надаєте всі дозволи, тож, можливо, ви будете змушені приймати рішення про те, наскільки важлива робота цієї програми для вас.

Окрім уваги до цієї поради щодо майбутніх установок, ви також можете перевірити наявні дозволи програми. Ви можете ознайомитися з нашими посібниками щодо забезпечення дозволів додатків для Android та iOS для отримання додаткової інформації.

2. Уважно читайте політику конфіденційності

Поглянемо, ми всі ненавидимо читати політику конфіденційності Але справа в тому, що вони містять багато важливої ​​інформації. Перевірте будь-яку згадку про використання мікрофона вашого телефону та з якою метою він може використовуватися. Будьте особливо обережні до політик, які згадують про мікрофон або аудіо, де вони є не має сенсу для цієї програми.

Пам’ятайте, що розробники додатків часто використовують альтернативну мову у своїй політиці, тому складніше помітити підозрілі практики. Наприклад, замість “ультразвукового відстеження” може використовуватися “нечутний звук”.

Також зауважте, що процеси скринінгу магазину додатків не завжди будуть вловлювати порушення політики, тому програма, яка порушує правила, яка не розкриває використання ультразвуку у своїй політиці, може прослідковувати непомітно. У цьому випадку ще важливіше слідкувати за тим, які дозволи запитуються.

3. Слідкуйте за можливими виправленнями або розширеннями

У минулому розробники придумували різні інструменти, які допомагають користувачам уникати ультразвукового відстеження. Наприклад, розширення SilverDog Chrome, випущене в 2017 році, виконує функцію звукового брандмауера для блокування ультразвукових маяків. І PilferShush – це програма для Android, яка слухає надвисокі частоти, щоб повідомити вас про те, коли програма може використовувати їх.

Незважаючи на це, розробка цих типів додатків була більш помітною, коли з’явився все більший галас навколо SilverPush та німецького дослідження додатків для Android. Здається, справи з тих пір сповільнилися, і ми не дуже бачимо додатків або розширень, розроблених для масового ринку. Якщо ми почнемо спостерігати зростання впровадження ультразвукової технології, проте, без сумніву, буде розвиватися програма.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me