研究人員在上周的IEEE歐洲議會上表示,他們在近期的一項研究中發現了234種安卓應用會向用戶發出“允許使用麥克風”的請求,以此通過超聲波信號追蹤用戶信息。基于超聲波跨設備追蹤技術(Ultrasonic Cross-Device Tracking,uXDT)是許多市場和廣告公司的“寵兒”。
超聲波音頻信標可以植入電視廣告或網頁廣告,而裝有接收器的移動APP則可以收集這些信標。由此,廣告商可以通過此項技術跨設備追蹤用戶信息,創建用戶的個性化檔案,通過分析設備收集的數據了解用戶的興趣所在,從而為每位用戶推薦他們感興趣的廣告。
越來越多的APP開始使用uXDT技術
在這項研究中,研究人員針對VirusTotal服務的數百萬Android應用進行了分析,他們發現一小部分應用采用名為Shopkick和Lisnr的超聲波音頻技術。還有不少應用則采用了SilverPush SDK,這是個可讓開發者對用戶進行跨設備追蹤的SDK。SilverPush、Lisnr和Shopkick都是為開發者準備的SDK,這三款SDK都采用超聲波信標給移動設備發送信息。
開發者可以通過SilverPush跨多個設備追蹤用戶信息,而 Lisnr 和Shopkick 則用于對用戶進行位置追蹤。研究人員在分析了大量Android應用之后發現,使用 Lisnr和Shopkick SDK的廠商并不多,但是使用SilverPush SDK的卻大有人在。這份報告還提到,在研究人員走訪的35家德國零售商店中,就有4家店內存在超聲波信標。
早在2015年,就有一份研究顯示,樣本中有6-7個APP使用了SilverPush SDK,該企業由此監視了大約1800萬臺智能手機,但這一數量正在不斷上升。
在2016年的BlackHat黑客大會上就有研究人員對uXDT技術進行了展示,并指出這種技術可以通過反匿名暴露Tor用戶的真實信息。(例如,在正常情況下,用戶通過比特幣進行交易不會留下真實的身份信息,但一家惡意網站可以追蹤出用戶的真實身份,或揭露出通過匿名網絡,如Tor洋蔥網絡,瀏覽網頁的用戶身份。)
隱私安全將何去何從?
雖然uXDT技術的應用目前尚未“誤入歧途”,但它仍然引發了許多對隱私的擔憂——app只需通過麥克風接收超聲波就可進行追蹤活動,而無需任何移動網絡或無線網絡。該研究報告提到:
“SilverPush的存在實際上縮小了監控和合法追蹤之間的距離。SilverPush和Lisnr采用相似的通訊協議和信號處理方式。即便用戶指導Lisnr會進行地理位置追蹤,SilverPush也不會公開采用這種追蹤功能的應用名稱。”
2014年斯諾登事件曝光后,泄露文檔提到美國情報機構如何獲取國外旅客在不同城市間的動向:機場會收集這些人所用設備的MAC地址,而全國各地咖啡廳、餐廳和零售店的WiFi熱點也會進行MAC地址識別,情報機構再對兩者進行比對。國外媒體認為,超聲波技術對于夸設備追蹤用戶動向甚至會有更好的效果。
如何進行自我保護?
既然我們無法阻止超聲波信號在自己周圍傳輸,那么為了減少智能手機被監聽的風險,最好的方法就是嚴格限制通過APP對設備發起的“請求”。
換而言之,這里我們只需運用自己的常識。例如,如果Skype請求“使用麥克風”,顯然十分合理的,因為在Skype中將用到這一功能。但倘若美妝或服飾APP發送這一請求,結果又將如何?作為用戶,應該嚴格拒絕請求。
為了取消這些不需要的APP請求,一些Android手機廠商,例如一加為用戶提供了一種叫做“隱私指南”(Privacy Guard)的功能,用戶可以通過這一功能禁止一些與APP基本功能無關的請求。 Android 7和iOS 10用戶同樣可以通過設置實現這一操作。
京公網安備 11010502049343號