Ультразвуковое отслеживание использует звуковые волны, которые регистрируются микрофонами устройства для сбора данных, определения местоположения пользователя и многого другого. Методология использует звуки, которые люди не слышат, но могут быть обнаружены различными устройствами, такими как смартфоны и планшеты. Это отслеживание может быть использовано для различных целей, включая сбор информации об отдельных пользователях на разных устройствах и определение вашего точного местоположения для показа ваших целевых объявлений..
Эта технология может быть полезна для пользователей, например, предлагая вам сделки в реальном времени в продуктовом магазине, но она имеет свои недостатки. При использовании приложений, обращающихся к микрофону вашего устройства, существуют очевидные проблемы с конфиденциальностью, особенно если они делают это без явного разрешения. Энтузиасты конфиденциальности также обеспокоены отсутствием универсального стандарта в отрасли, и проблемы безопасности включают в себя уязвимость технологии для попыток взлома.
В этом посте мы объясним, что такое ультразвуковое отслеживание, как оно работает и для чего оно используется. Мы также обсудим последствия ультразвукового отслеживания для конфиденциальности и безопасности, а также шаги, которые можно предпринять, чтобы заблокировать ультразвуковое отслеживание..
Что такое ультразвуковое сопровождение?
Ультразвуковые звуковые волны – это волны, частота которых слишком высока (обычно выше 18 кГц), чтобы их можно было услышать человеческим ухом. Например, собачий свист издает ультразвуковые звуки – собака может слышать это, даже если вы не можете.
В последние несколько лет разработчики нашли применение этим звукам в отслеживании мобильных устройств. Звуки кодируются с данными для создания маяков, которые могут быть переданы из любого типа динамика и подобран подслушивающим устройством.
Маяки могут быть встроены в повседневные звуки, такие как звук телевизора или реклама в Интернете. Они могут даже вставляться в музыку, которую вы слышите в магазинах и лифтах, или транслировать без каких-либо звуков прикрытия..
Используя микрофон вашего устройства для прослушивания маяков, производители телефонов и разработчики приложений могут использовать их для самых разных целей. Некоторые общие приложения для этой технологии:
- Создание пользовательских профилей: Обнаружив маяки, встроенные в веб-страницы, рекламные объявления и даже физические маркеры, рекламодатели могут создать профиль вашей деятельности как в Интернете, так и в автономном режиме. Они могут отслеживать вас на разных устройствах и даже создавать связи между вами и другими людьми. Например, ваш телефон, принимающий маяк от умного телевизора вашего друга, свяжет вас с этим человеком.
- Сопряжение устройства: Ультразвуковые маяки могут создавать соединения между устройствами, например, между телефоном и устройством Chromecast.
- Обнаружение близости: Технология может определить ваше точное местоположение, например, в магазине. Это может быть использовано для самостоятельных экскурсий по музеям или для получения специальных предложений при прохождении через определенный раздел магазина..
- Передача данных: Ультразвуковое отслеживание не зависит от Wi-Fi или других подключений, поэтому оно может иметь широкий спектр потенциальных применений в случаях, когда соединения недоступны.
Хотя некоторые из этих вариантов использования приносят пользу клиентам, другие несут риск вторжения в частную жизнь.
Проблемы конфиденциальности с ультразвуковым отслеживанием
Концепция вашего устройства, отслеживающего вас с помощью звуков, может, по меньшей мере, нервировать. Приложения должны записывать звук для обнаружения ультразвуковых маяков, поэтому существует проблема, что могут быть записаны и другие звуки (например, разговоры).
К счастью, для доступа к микрофону вашего устройства требуется ваше специальное разрешение, которое обычно запрашивается при первой установке соответствующего приложения. К сожалению, многие пользователи смартфонов и других устройств слишком доверчивы и часто дают разрешения запрошенные недавно установленными приложениями, не задумываясь.
Поскольку приложениям нужны только ультразвуковые звуки, они могут отфильтровывать слышимые части записей, сводя к минимуму проблемы с конфиденциальностью. Теоретически, чтобы защитить конфиденциальность пользователей, все приложения, использующие ультразвуковое отслеживание, должны это делать. Конечно, трудно подтвердить, практикуют ли они аудио-фильтрацию для обеспечения конфиденциальности пользователей. И даже если они фильтруют, в зависимости от типа используемого фильтра, полный звук (включая слышимые звуки) может потребоваться сохранить, хотя и временно.
Эта деятельность незаконна в некоторых частях мира. В Австралии, например, незаконно «подслушивать, записывать, отслеживать или слушать частную беседу» без явного согласия всех сторон. Тем не менее, нет никаких сомнений в том, что обеспечение соблюдения таких законов будет затруднено..
Итак, куда движется индустрия с точки зрения конфиденциальности? Вот три заметных вехи, которые помогли сформировать его направление:
- Март 2016 года: Предупреждения Федеральной торговой комиссии (FTC) были направлены рекламодателям, использующим технологию ультразвукового слежения SilverPush.
- Октябрь 2016 г .: Исследование показало, что ультразвуковое отслеживание может быть использовано для защиты конфиденциальности, предоставляемой браузером Tor..
- Май [year] года: Исследование, проведенное в Германии, показало, что сотни приложений Android используют технологию ультразвукового слежения, причем многим не хватает четких политик конфиденциальности..
Давайте рассмотрим каждое из этих событий более подробно.
1. SilverPush FTC предупреждения
Когда в 2016 году ультразвуковое отслеживание стало набирать обороты, одной из ведущих компаний стала SilverPush, поставщик программного обеспечения для отслеживания нескольких устройств. SilverPush работает в 12 странах и имеет внушительный список клиентов, включая Coca Cola, Unilever, KFC и Levi’s..
Компания разработала свою технологию отслеживания в 2014 году и, как представляется, завоевать долю рынка в течение следующих нескольких лет. Одна версия их программного обеспечения использовала микрофоны смартфона для прослушивания маяков, встроенных в звук телевизионной рекламы. Журналы просматриваемого телевизионного контента могут затем использоваться в аналитике и целевой рекламе..
В марте 2016 года FTC разослал предупреждающие письма разработчикам 12 телефонных приложений, которые интегрировали ультразвуковые рецепторы SilverPush. Один абзац в этом письме гласил:
Например, код настроен для доступа к микрофону устройства для сбора аудиоинформации даже когда приложение не используется. Кроме того, вашему приложению требуется разрешение на доступ к микрофону мобильного устройства перед установкой, несмотря на то, что в приложении отсутствуют очевидные функции, которые бы требовали такого доступа..
Согласно веб-сайту SilverPush, он больше не использует ультразвуковое отслеживание в своих кампаниях:
Ранее у нас был продукт, но обнаружение рекламы нашего продукта не работает на какой-либо неслышимой частоте или технологии маяка для смартфонов […]
Неясно, изменили ли разработчики приложений-нарушителей свои приложения или просто вытащили их с рынка. Тем не менее, выпуск писем FTC привлек большое внимание средств массовой информации и привлек критическое внимание к SilverPush и технологии ультразвукового слежения..
2. Ультразвуковое отслеживание обнаружило нарушение конфиденциальности Tor
Одним из открытий было то, что ультразвуковое отслеживание может даже выявить интернет-активность тех, кто принимает меры, чтобы скрыть свою личность в Интернете. Использование ультразвукового отслеживания было доказано в качестве метода для идентификации пользователей сети Tor.
Этот взлом был обнаружен и продемонстрирован исследователями из Университетского колледжа Лондона и Калифорнийского университета в Санта-Барбаре в октябре 2016 года..
В том же исследовании было установлено, что ультразвуковое отслеживание между устройствами может использоваться для введения поддельных звуковых маяков и утечки личной информации пользователей..
Одной из основных проблем этих исследователей был случайный способ применения ультразвуковой технологии.
По словам Джованни Винья, профессора Калифорнийского университета в Санта-Барбаре (UCSB):
[…] Оставление ультразвука полностью непроверенным вызывает путаницу, и реализации ошибочны, потому что они являются специальными. Есть риски, которые только станут хуже без стандартизации.
Они предполагают, что операционные системы могут включать стандартную методологию, которая служит для улучшения конфиденциальности и безопасности ультразвукового слежения. Однако такой стандарт еще не принят.
3. Немецкое приложение для Android
В докладе немецкого Технического университета Брауншвейга [PDF], опубликованном в мае [year] года, было обнаружено открытие 234 приложений для Android, включающих ультразвуковые рецепторы. Не все эти приложения были совместными, и владельцы хостинговых устройств могли не знать, что их телефоны отслеживали их действия..
После этого исследования Google заверил пользователей, что он удалил любые приложения-нарушители из магазина, или разработчики соответствующим образом обновили свои политики конфиденциальности..
Google теперь предусматривает, что разработчики должны прямо указать в своей политике конфиденциальности когда используются ультразвуковые маяки и какова их цель. Более строгие политики, скорее всего, послужили сдерживающим фактором для разработчиков, использующих эту технологию, поэтому неудивительно, что использование ультразвукового отслеживания в рекламе с тех пор перестало пользоваться популярностью, по крайней мере, публично.
Безопасны ли ультразвуковые сигналы??
Помимо вопросов конфиденциальности, существуют проблемы, связанные с безопасностью ультразвукового слежения..
Передача и прием маяков должны происходить практически мгновенно, чтобы технология была эффективной. Это оставляет очень мало времени для аутентификации и шифрования. Быстрый оборот означает, что многие взаимодействия выполняются без аутентификации личности, а данные передаются в незашифрованном формате..
Эта оставляет дверь открытой для хакеров кто может манипулировать коммуникациями. Один из реальных примеров ультразвуковой атаки отслеживания включал многократное воспроизведение маяка для искажения данных. Другие злоупотребления могут включать перехват данных банковского счета в системах сигнализации в магазине, фальсификацию кодов билетов, кражу кредитов в магазинах и подарочных карт, а также передачу ложных данных.
В [year] году исследователи из Чжэцзянского университета в Китае разработали DolphinAttack [PDF]. Это был метод получения доступа к интеллектуальным устройствам и другим устройствам IoT через виртуальных помощников, активируемых голосом, таких как Siri, Alexa и Google Assistant..
Исследователи смогли отправить голосовые команды, которые не слышно человеку, на Amazon Echo и iPhone. Эти устройства обеспечивают доступ к веб-браузерам на других подключенных к Интернету устройствах, позволяя злоумышленникам открывать зараженные веб-сайты..
Такая стратегия может использоваться для внедрения вредоносных программ без файлов, таких как системы отслеживания, генераторы кликов, шпионские программы, контроллеры ботнетов и клавиатурные шпионы. Он также может быть использован для управления устройствами, такими как домашние помощники и, возможно, даже системы безопасности.
Кто использует ультразвуковое отслеживание?
С таким большим количеством рисков, связанных с конфиденциальностью и безопасностью, технология не получила такого широкого применения, как первоначально ожидалось. Тем не менее, все еще есть много компаний, использующих ультразвуковое отслеживание в той или иной форме. Вот несколько примеров:
Shopkick
Shopkick отслеживает покупателей, когда они проходят через магазины, и предлагает бонусные баллы. Очки автоматически накапливаются в приложении телефона, когда оно проходит маяки.
Lisnr
Lisnr специализируется на продаже билетов и передаче платежей. Как и в случае Shopkick, это приложение требует участия клиентов и не является системой скрытого отслеживания..
Google Nearby
Google Nearby – это полезная функция, которая позволяет вам общаться с соседними устройствами. Для установления близости он использует комбинацию ультразвуковой сигнализации, Bluetooth и Wi-Fi..
Fanpictor
Fanpictor выпускает приложение для привлечения зрителей на шоу и спортивные мероприятия. Это использует ультразвуковую сигнализацию для координации телефонов членов аудитории и создания светового шоу, как показано в видео ниже.
Amazon Dash Buttons
Хотя физическая версия этого продукта была прекращена, некоторые существующие устройства все еще используются. Кнопки Amazon Dash можно использовать для изменения порядка предметов домашнего обихода одним нажатием кнопки и использования ультразвуковой сигнализации для связи с вашим устройством..
Как заблокировать ультразвуковое сопровождение
Ваша главная система защиты от ультразвукового слежения – бдительность. Хотя каждое компьютерное устройство с микрофоном находится под угрозой, основной целью для этих систем является смартфон, и доступ к нему облегчают прослушивание приложений. Вот несколько советов, как избежать ультразвукового слежения.
1. Не предоставляйте доступ к вашему микрофону
Хотя вы можете спешить использовать приложение, всегда важно дважды подумать, прежде чем предоставлять разрешения, особенно для таких вещей, как ваш микрофон и камера. Обратите внимание, что некоторые приложения могут не работать, если вы не предоставляете все разрешения, поэтому вы можете быть вынуждены принять решение о том, насколько важна работа этого приложения для вас..
Помимо учета этого совета для будущих установок, вы также можете проверить существующие разрешения приложения. Вы можете ознакомиться с нашими руководствами по защите разрешений приложений Android и iOS для получения дополнительной информации..
2. Внимательно прочитайте политику конфиденциальности
Посмотрим правде в глаза, мы все ненавидим читать политику конфиденциальности. Но дело в том, что они содержат много важной информации. Проверьте, нет ли упоминаний об использовании микрофона вашего телефона и для каких целей он может быть использован. Будьте особенно осторожны с политиками, которые упоминают микрофон или аудио, где это не имеет смысла для этого конкретного приложения.
Имейте в виду, что разработчики приложений часто используют альтернативный язык в своих политиках, чтобы было сложнее обнаружить подозрительные действия. Например, вместо «ультразвукового слежения» можно использовать «неслышимые звуки».
Также обратите внимание, что процессы скрининга в магазине приложений не всегда выявляют нарушающие политики, поэтому приложение-нарушитель (которое не раскрывает ультразвуковое использование в своей политике) может остаться незамеченным. В этом случае еще важнее выяснить, какие разрешения запрашиваются..
3. Обратите внимание на возможные исправления или расширения
В прошлом разработчики предлагали различные инструменты, которые помогают пользователям избегать ультразвукового слежения. Например, расширение SilverDog Chrome, выпущенное в [year] году, выступает в качестве звукового брандмауэра для блокировки ультразвуковых маяков. И PilferShush – это приложение для Android, которое прослушивает сверхвысокие частоты, чтобы предупредить вас, когда приложение может их использовать.
Тем не менее, разработка этих типов приложений была более заметной, когда вокруг SilverPush и немецкого исследования Android-приложений было все больше шумихи. С тех пор дела, кажется, замедлились, и мы на самом деле не видим никаких приложений или расширений, предназначенных для массового рынка. Однако, если мы начнем видеть рост использования ультразвуковых технологий, то, несомненно, последует разработка приложений..
й. Однако, несмотря на все преимущества, ультразвуковое отслеживание имеет свои недостатки, особенно в отношении конфиденциальности и безопасности. Приложения, использующие эту технологию, могут получать доступ к микрофону вашего устройства без вашего явного разрешения, что может привести к утечке личной информации. Кроме того, отсутствие универсального стандарта в отрасли и уязвимость технологии для попыток взлома также вызывают опасения. Поэтому, если вы хотите защитить свою конфиденциальность, вам следует внимательно читать политику конфиденциальности приложений и не предоставлять доступ к микрофону вашего устройства без необходимости. Кроме того, вы можете использовать специальные инструменты для блокировки ультразвукового отслеживания.
й. Однако, несмотря на все преимущества, ультразвуковое отслеживание имеет свои недостатки, особенно в отношении конфиденциальности и безопасности. Пользователи должны быть осторожны и внимательны при использовании приложений, которые обращаются к микрофону их устройств, и следить за политикой конфиденциальности. Кроме того, существуют способы блокировки ультразвукового отслеживания, такие как отключение доступа к микрофону или внимательное изучение настроек приложений. В целом, ультразвуковое отслеживание – это интересная и полезная технология, но ее использование должно быть осуществлено с осторожностью и с учетом конфиденциальности и безопасности пользователей.