Fluxo de trabalho da tecnologia de rastreamento por ultrassomUma equipe de pesquisadores da Universidade Técnica de Braunschweig (Alemanha) encontrou um grande número de aplicativos Android
usando beacons ultrassônicos para rastrear usuários. Especialistas dizem que a tecnologia (rastreamento entre dispositivos por ultra-som, uXDT) ganhou grande popularidade nos últimos anos.
A idéia é que, quando um anúncio é exibido na TV, em um dispositivo móvel ou em uma loja / restaurante offline, um sinal de ultra-som é ouvido de maneira inaudível no ouvido. Geralmente é adicionado a um videoclipe ou jingle. Esse sinal é gravado pelos microfones dos dispositivos eletrônicos ao redor (laptops, PCs, smartphones, tablets) - e depois disso o anunciante sabe que esse usuário em particular é o proprietário dos dispositivos listados. Isso é necessário, inclusive para vincular perfis de publicidade e rastrear um usuário que acessa a Internet a partir de diferentes dispositivos.
Na loja / restaurante, essa é a ligação de um smartphone específico a um hóspede específico. Em seguida, ele pode "enganar" a publicidade direcionada desse restaurante pela Internet.
Os anunciantes valorizam muito a vinculação de perfis entre dispositivos, porque é possível criar um perfil mais preciso e completo de uma pessoa, para estudar seus hábitos, comportamento na Internet, interesses em detalhes. Portanto, mostre uma publicidade mais relevante e intrusiva. Os usuários ficarão surpresos com o motivo pelo qual são exibidos banners pornográficos em um smartphone se eles assistem erótica apenas em um computador pessoal. E os perfis já estão conectados.
Instalação de teste no laboratório da Universidade de Tecnologia de Braunschweig. O reconhecimento de beacon a uma distância de 2 metros a uma frequência de 18 kHz é de 70% a 100% e a uma frequência de 20 kHz - de 75% a 100%, dependendo da qualidade do telefoneDo ponto de vista dos especialistas em segurança e da maioria dos usuários, a tecnologia de vincular perfis é uma ameaça real à privacidade, porque as redes de anúncios recebem informações que ninguém queria fornecer. Se uma pessoa acidentalmente viu um anúncio na TV, isso não significa que ele deu permissão para estudar o histórico dos sites visitados a partir de um smartphone e PC. A rede de publicidade acredita que tem o direito de, porque essa vigilância não é proibida por lei.
A tecnologia é suportada pelos mecanismos de publicidade Shopkick, Lisnr e SilverPush.
Na vida real, a situação não é crítica. Primeiro, apenas algumas lojas offline e cadeias de fast food emitem sinais ultrassônicos. Por exemplo, um estudo em duas lojas européias mostrou que os rastreadores de ultrassom Shopkick soam apenas em 4 dos 35 pontos estudados nas vendas. Em segundo lugar, para registrar um sinal em um smartphone, o usuário deve realmente abrir um aplicativo que é executado no Shopkick SDK. Obviamente, esses aplicativos não são instalados em muitos telefones, embora as próprias lojas os promovam ativamente, oferecendo aos usuários vários descontos e bônus se instalarem o aplicativo proprietário e o usarem. Duas das aplicações que os pesquisadores descobriram têm de 1 a 5 milhões de downloads.
Gravações e espectrogramas de áudio de uma faixa de música de apoio e um farol ultrassônicoOuvir várias dezenas de canais de televisão em sete países (um total de 6 dias de gravações de áudio) não revelou um único ultrassom de rastreamento entre as frequências de 18 e 20 kHz. Os pesquisadores dizem que os canais de TV usam diferentes configurações de compressão de vídeo e áudio ao transmitir on-line. É provável que, após a compressão, esse ultrassom tenha desaparecido da transmissão, embora estivesse presente no sinal original.
A presença de mais de 200 aplicativos com a função de reconhecimento de ultrassom (de 1,3 milhão de testados) sugere que essas etiquetas devem estar presentes em algum lugar nas transmissões originais.
Normalmente, nos últimos anos, o número de aplicativos com suporte ao uXDT está crescendo rapidamente. Por exemplo, uma verificação anterior em abril de 2015 revelou apenas 6 aplicativos usando o uXDT e, em dezembro de 2015 - 39 aplicativos. Mas agora a tecnologia foi para as massas.
Infelizmente, esse tipo de vigilância é usado, a julgar pelos aplicativos, por algumas empresas aparentemente respeitáveis, como McDonald's e Krispy Kreme. Embora sua reputação possa sofrer se muitas pessoas descobrirem sobre esses métodos de perfil de publicidade oculta.
A propósito, o mesmo grupo de pesquisadores descreveu anteriormente o método de descriptografar os usuários do Tor através dos mesmos beacons ultrassônicos de rastreamento em JavaScript que funcionam através da API de áudio HTML5.
A apresentação desse trabalho ocorreu nas conferências de hackers Black Hat Europe 2016 e 33º Congresso de Comunicação do Caos, de novembro a dezembro (
vídeo em mp4, 543 MB ). Então, as pessoas já estão cientes desse canal de ataque. Os desenvolvedores do Tor Project
também foram notificados . Apenas desconecte o seu celular se você acessar a Internet através do navegador Tor a partir de um computador pessoal. Você pode usar um scanner especial para pesquisar e remover programas do seu smartphone que reconhecem o ultrassom (a análise estática do código revela áreas características). Ou filtre no ultra-som da fonte de sinal acima de 18 kHz.