研究人员在上周的IEEE欧洲议会上表示,他们在近期的一项研究中发现了234种安卓应用会向用户发出“允许使用麦克风”的请求,以此通过超声波信号追踪用户信息。基于超声波跨设备追踪技术(Ultrasonic Cross-Device Tracking,uXDT)是许多市场和广告公司的“宠儿”。
超声波音频信标可以植入电视广告或网页广告,而装有接收器的移动APP则可以收集这些信标。由此,广告商可以通过此项技术跨设备追踪用户信息,创建用户的个性化档案,通过分析设备收集的数据了解用户的兴趣所在,从而为每位用户推荐他们感兴趣的广告。
越来越多的APP开始使用uXDT技术
在这项研究中,研究人员针对VirusTotal服务的数百万Android应用进行了分析,他们发现一小部分应用采用名为Shopkick和Lisnr的超声波音频技术。还有不少应用则采用了SilverPush SDK,这是个可让开发者对用户进行跨设备追踪的SDK。SilverPush、Lisnr和Shopkick都是为开发者准备的SDK,这三款SDK都采用超声波信标给移动设备发送信息。
开发者可以通过SilverPush跨多个设备追踪用户信息,而 Lisnr 和Shopkick 则用于对用户进行位置追踪。研究人员在分析了大量Android应用之后发现,使用 Lisnr和Shopkick SDK的厂商并不多,但是使用SilverPush SDK的却大有人在。这份报告还提到,在研究人员走访的35家德国零售商店中,就有4家店内存在超声波信标。
早在2015年,就有一份研究显示,样本中有6-7个APP使用了SilverPush SDK,该企业由此监视了大约1800万台智能手机,但这一数量正在不断上升。
在2016年的BlackHat黑客大会上就有研究人员对uXDT技术进行了展示,并指出这种技术可以通过反匿名暴露Tor用户的真实信息。(例如,在正常情况下,用户通过比特币进行交易不会留下真实的身份信息,但一家恶意网站可以追踪出用户的真实身份,或揭露出通过匿名网络,如Tor洋葱网络,浏览网页的用户身份。)
隐私安全将何去何从?
虽然uXDT技术的应用目前尚未“误入歧途”,但它仍然引发了许多对隐私的担忧——app只需通过麦克风接收超声波就可进行追踪活动,而无需任何移动网络或无线网络。该研究报告提到:
“SilverPush的存在实际上缩小了监控和合法追踪之间的距离。SilverPush和Lisnr采用相似的通讯协议和信号处理方式。即便用户指导Lisnr会进行地理位置追踪,SilverPush也不会公开采用这种追踪功能的应用名称。”
2014年斯诺登事件曝光后,泄露文档提到美国情报机构如何获取国外旅客在不同城市间的动向:机场会收集这些人所用设备的MAC地址,而全国各地咖啡厅、餐厅和零售店的WiFi热点也会进行MAC地址识别,情报机构再对两者进行比对。国外媒体认为,超声波技术对于夸设备追踪用户动向甚至会有更好的效果。
如何进行自我保护?
既然我们无法阻止超声波信号在自己周围传输,那么为了减少智能手机被监听的风险,最好的方法就是严格限制通过APP对设备发起的“请求”。
换而言之,这里我们只需运用自己的常识。例如,如果Skype请求“使用麦克风”,显然十分合理的,因为在Skype中将用到这一功能。但倘若美妆或服饰APP发送这一请求,结果又将如何?作为用户,应该严格拒绝请求。
为了取消这些不需要的APP请求,一些Android手机厂商,例如一加为用户提供了一种叫做“隐私指南”(Privacy Guard)的功能,用户可以通过这一功能禁止一些与APP基本功能无关的请求。 Android 7和iOS 10用户同样可以通过设置实现这一操作。
作者:柯力士信息安全
来源:51CTO