Flujo de trabajo de la tecnología de baliza de seguimiento ultrasónicoUn equipo de investigadores de la Universidad Técnica de Braunschweig (Alemania) encontró una gran cantidad de aplicaciones de Android que
utilizan balizas ultrasónicas para rastrear a los usuarios. Los expertos dicen que la tecnología (seguimiento de dispositivos cruzados por ultrasonido, uXDT) ha ganado gran popularidad en los últimos años.
La idea es que cuando se reproduce un anuncio en la televisión, en un dispositivo móvil o en una tienda / restaurante fuera de línea, se escucha una señal de ultrasonido inaudible en el oído. Por lo general, se agrega a un video musical o tintineo. Esta señal es registrada por los micrófonos de los dispositivos electrónicos circundantes (computadoras portátiles, PC, teléfonos inteligentes, tabletas), y después de eso, el anunciante sabe que este usuario en particular posee simultáneamente los dispositivos enumerados. Esto es necesario, incluso para vincular perfiles publicitarios y rastrear a un usuario que accede a Internet desde diferentes dispositivos.
En la tienda / restaurante, este es el enlace de un teléfono inteligente particular a un huésped específico. Luego puede "engañar" la publicidad dirigida de este restaurante a través de Internet.
Los anunciantes valoran enormemente la vinculación de perfiles entre dispositivos, ya que es posible crear un perfil más preciso y completo de una persona, para estudiar sus hábitos, comportamiento en Internet, intereses en detalles. Entonces, muestre una publicidad más relevante e intrusiva. Entonces, los usuarios se sorprenderán de por qué se les muestran pancartas pornográficas en un teléfono inteligente si ven la erótica solo en una computadora personal. Y los perfiles ya están conectados.
Configuración de prueba en el laboratorio de la Universidad Tecnológica de Braunschweig. El reconocimiento de baliza desde una distancia de 2 metros a una frecuencia de 18 kHz es del 70% al 100%, y a una frecuencia de 20 kHz, del 75% al 100%, según la calidad del teléfono.Desde el punto de vista de los expertos en seguridad y la mayoría de los usuarios, la tecnología de vinculación de perfiles es una amenaza real para la privacidad, porque las redes publicitarias reciben información que nadie quería proporcionarles. Si una persona vio accidentalmente un anuncio en la televisión, esto no significa que dio permiso para estudiar la historia de los sitios visitados desde un teléfono inteligente y una PC. La red de publicidad cree que tiene derecho a hacerlo, porque dicha vigilancia no está prohibida por la ley.
La tecnología es compatible con los motores de publicidad Shopkick, Lisnr y SilverPush.
En la vida real, la situación no es crítica. Primero, solo unas pocas tiendas fuera de línea y cadenas de comida rápida emiten balizas ultrasónicas. Por ejemplo, un estudio en dos tiendas europeas mostró que los rastreadores de ultrasonido Shopkick solo suenan en 4 de los 35 puntos estudiados en las salas de ventas. En segundo lugar, para registrar una señal en un teléfono inteligente, el usuario debe abrir una aplicación que se ejecute en el SDK de Shopkick. Obviamente, tales aplicaciones no están instaladas en muchos teléfonos, aunque las tiendas mismas las están promoviendo activamente, ofreciendo a los usuarios varios descuentos y bonificaciones si instalan la aplicación patentada y la usan. Dos de las aplicaciones que los investigadores encontraron tienen de 1 a 5 millones de descargas.
Grabaciones de audio y espectrogramas de una pista de música de apoyo y una baliza ultrasónicaEscuchar varias docenas de canales de televisión en siete países (un total de 6 días de grabaciones de audio) no reveló un solo ultrasonido de seguimiento entre las frecuencias de 18 y 20 kHz. Los investigadores dicen que los canales de televisión usan diferentes configuraciones de compresión de audio y video cuando transmiten en línea. Es probable que después de la compresión este ultrasonido desapareciera de la transmisión, aunque estaba presente en la señal original.
La presencia de más de 200 aplicaciones con la función de reconocimiento de ultrasonido (de 1.3 millones de pruebas) sugiere que estas etiquetas deberían estar presentes en algún lugar de las transmisiones originales.
Por lo general, en los últimos años, el número de aplicaciones con soporte uXDT está creciendo rápidamente. Por ejemplo, un análisis anterior en abril de 2015 reveló solo 6 aplicaciones que usaban uXDT, y en diciembre de 2015, 39 aplicaciones. Pero ahora la tecnología se ha ido a las masas.
Lamentablemente, este tipo de vigilancia se utiliza, a juzgar por las aplicaciones, por algunas empresas aparentemente respetables, como McDonald's y Krispy Kreme. Aunque su reputación puede verse afectada si muchas personas se enteran de tales métodos ocultos de creación de perfiles publicitarios.
Por cierto, el mismo grupo de investigadores describió previamente el método de desanonimización de los usuarios de Tor a través de las mismas balizas ultrasónicas de seguimiento en JavaScript que funcionan a través de la API de audio HTML5.
La presentación de ese trabajo tuvo lugar en las conferencias de pirateo Black Hat Europe 2016 y el 33 ° Congreso de Comunicación del Caos en noviembre-diciembre (
video mp4, 543 MB ). Entonces la gente ya conoce este canal de ataque. Los desarrolladores de Tor Project
también han
sido notificados . Simplemente desconecte su teléfono móvil si accede a Internet a través del navegador Tor desde una computadora personal. Puede usar un escáner especial para buscar y eliminar programas de su teléfono inteligente que reconocen el ultrasonido (el análisis de código estático revela áreas características). O filtre en la fuente de señal de ultrasonido por encima de 18 kHz.