Flux de travail de la technologie de balise de suivi par ultrasonsUne équipe de chercheurs de l'Université technique de Braunschweig (Allemagne) a trouvé un grand nombre d'applications Android
utilisant des balises à ultrasons pour suivre les utilisateurs. Les experts disent que la technologie (suivi multi-appareils à ultrasons, uXDT) a gagné en popularité ces dernières années.
L'idée est que lorsqu'une publicité est diffusée à la télévision, sur un appareil mobile ou dans un magasin / restaurant hors ligne, un signal ultrasonore est entendu de manière inaudible dans l'oreille. Il est généralement ajouté à un clip ou à un jingle. Ce signal est enregistré par les microphones des appareils électroniques environnants (ordinateurs portables, PC, smartphones, tablettes) - et après cela, l'annonceur sait que cet utilisateur particulier possède simultanément les appareils répertoriés. Cela est nécessaire, notamment pour lier des profils publicitaires et suivre un utilisateur qui accède à Internet à partir de différents appareils.
Dans le magasin / restaurant, il s'agit de la liaison d'un smartphone particulier à un invité spécifique. Ensuite, il peut «tromper» la publicité ciblée de ce restaurant sur Internet.
Les annonceurs attachent beaucoup d'importance à lier les profils entre les appareils, car il est possible de créer un profil plus précis et complet d'une personne, d'étudier en détail ses habitudes, son comportement sur Internet, ses intérêts. Donc, montrez une publicité plus pertinente et intrusive. Les utilisateurs seront ensuite surpris de voir des bannières pornographiques sur un smartphone s'ils ne regardent l'érotisme que sur un ordinateur personnel. Et les profils sont déjà connectés.
Installation de test dans le laboratoire de l'Université de technologie de Braunschweig. La reconnaissance des balises à une distance de 2 mètres à une fréquence de 18 kHz est de 70% à 100%, et à une fréquence de 20 kHz - de 75% à 100%, selon la qualité du téléphoneDu point de vue des experts en sécurité et de la plupart des utilisateurs, la technologie de liaison des profils est une réelle menace pour la confidentialité, car les réseaux publicitaires reçoivent des informations que personne ne voulait leur fournir. Si une personne a accidentellement vu une publicité à la télévision, cela ne signifie pas qu'elle a donné la permission d'étudier l'historique des sites visités à partir d'un smartphone et d'un PC. Le réseau publicitaire estime qu'il en a le droit, car une telle surveillance n'est pas interdite par la loi.
La technologie est prise en charge par les moteurs publicitaires Shopkick, Lisnr et SilverPush.
Dans la vraie vie, la situation n'est pas critique. Premièrement, seuls quelques magasins hors ligne et chaînes de restauration rapide émettent des balises à ultrasons. Par exemple, une étude dans deux magasins européens a montré que les détecteurs à ultrasons Shopkick ne sonnent que dans 4 des 35 points étudiés dans les salles de vente. Deuxièmement, pour enregistrer un signal sur un smartphone, l'utilisateur doit réellement ouvrir une application qui s'exécute sur le SDK Shopkick. De toute évidence, de telles applications ne sont pas installées sur de nombreux téléphones, bien que les magasins eux-mêmes les promeuvent activement, offrant aux utilisateurs divers rabais et bonus s'ils installent l'application propriétaire et l'utilisent. Deux des applications que les chercheurs ont trouvées ont de 1 à 5 millions de téléchargements.
Enregistrements audio et spectrogrammes d'une piste musicale de soutien et d'une balise à ultrasonsL'écoute de plusieurs dizaines de chaînes de télévision dans sept pays (un total de 6 jours d'enregistrements audio) n'a pas révélé une seule échographie de suivi entre les fréquences de 18 et 20 kHz. Les chercheurs affirment que les chaînes de télévision utilisent différents paramètres de compression vidéo et audio lors de la diffusion en ligne. Il est probable qu'après compression, cette échographie ait disparu de la diffusion, bien qu'elle soit présente dans le signal d'origine.
La présence de plus de 200 applications avec la fonction de reconnaissance par ultrasons (sur 1,3 million testé) suggère que ces étiquettes devraient être présentes quelque part dans les émissions originales.
En règle générale, ces dernières années, le nombre d'applications prenant en charge uXDT augmente rapidement. Par exemple, une analyse précédente en avril 2015 n'a révélé que 6 applications utilisant uXDT, et en décembre 2015 - 39 applications. Mais maintenant, la technologie est allée aux masses.
Malheureusement, ce type de surveillance est utilisé, à en juger par les applications, par certaines entreprises apparemment respectables, telles que McDonald's et Krispy Kreme. Bien que leur réputation puisse en souffrir si de nombreuses personnes découvrent de telles méthodes de profilage publicitaire caché.
Soit dit en passant, le même groupe de chercheurs a précédemment décrit la méthode de désanonymisation des utilisateurs de Tor via les mêmes balises à ultrasons de suivi en JavaScript qui fonctionnent via l'API audio HTML5.
La présentation de ce travail a eu lieu lors des conférences de hack Black Hat Europe 2016 et du 33e Chaos Communication Congress en novembre-décembre (
vidéo mp4, 543 Mo ). Les gens sont donc déjà conscients de ce canal d'attaque. Les développeurs du projet Tor ont
également été informés . Débranchez simplement votre téléphone portable si vous accédez à Internet via le navigateur Tor depuis un ordinateur personnel. Vous pouvez utiliser un scanner spécial pour rechercher et supprimer des programmes de votre smartphone qui reconnaissent les ultrasons (l'analyse de code statique révèle des zones caractéristiques). Ou filtrez les ultrasons de la source du signal au-dessus de 18 kHz.