Open Source im professionellen Einsatz

Targeting-Studie: Apps verwenden unhörbare Ultraschallsignale

09.05.2017

Von der Universität Braunschweig stammt eine Studie, die gerade für Aufsehen sorgt. Immer mehr Android-Apps sammeln demnach mit Hilfe von meist unhörbaren Ultraschallsignalen Informationen über ihre Smartphone-Nutzer.

414

Die betroffenen Apps lauschen laut der Studie [PDF] von Daniel Arp, Erwin Quiring, Christian Wressnegger und Konrad Rieck auf Umgebungssignale zwischen 18 und 20 kHz, so genannte Ultraschall-Beacons, die Frequency Shift Keying nutzen. Ein Use Case kann etwa so aussehen, dass ein Kunde eine App eines Burgerbraters installiert, die auf derartige Signale lauscht. Betritt er dann eine Filiale des Hamburgeranbieters, die ein solches unhörbares Signal aussendet, weiß der Betreiber der App, in welcher Filiale sich der Nutzer der App wie lange aufhält.

Es gibt weitere Anwendungsszenarien. Über Werbetafeln, die solche Signale aussenden, ließe sich der Standort eines Nutzers herausfinden. Denkbar wäre dann auch Targeting, also das Abspielen bestimmter Spots auf Basis der ermittelten Benutzervorlieben. Würden Fernsehsender solche Signale aussenden (was sie laut der Studie nicht tun), könnte eine App ermitteln, welche Werbespots und Programme sich die Handybesitzer ansehen, oder für welche Themen sie sich interessieren. Auch ein gezieltes Deanonymisieren von Nutzern wäre möglich.

Als Apps, die die Technologie verwenden oder dabei sind, es zu tun, nennt das Paper das Silverpush SDK (Cross-Device- und Media-Tracking), Lisnr und Shopkick (beide Location-Tracking). Konkret sollen bereits 234 der über eine Million untersuchten Android-Apps mit Hilfe von Silverpush vom User unbemerkt auf die Ultraschall-Beacons lauschen, während zugleich 4 von 35 untersuchten Shops in zwei europäischen Städten solche unhörbaren Signale über Shopkick senden. Die Namen aller Anwendungen, die auf Ultraschall Beacons lauschen, nennt die Studie nicht, beispielhaft zählt sie "100000+ SMS Messages", "McDo Philippines", "Krispy Kreme Philippines", "Pinoy Henyo" sowie "Civil Service Reviewer Free" auf.

Die Apps mit Lausch-Support entdeckten die Forscher, indem sie die drei genannten Anwendungen mit Hilfe von Radare2 und Androguard analysierten und dann andere Apps auf bestimmte Algorithmen (etwa den Goertzel-Algorithmus) hin untersuchten, die bei den Lausch-Apps gefunden wurden. Diese horchen auf bestimmte Muster in den Frequenzen und senden dann, wenn sie fündig werden, Daten über das verwendete Handy oder den Aufenthaltsort zurück. Das ist mitunter so gewollt: Lisnr und Shopkick machen kein Geheimnis aus dem Einsatz der Technologie, Kunden aktivieren die Lauschtechnik also mehr oder weniger bewusst. Bei Silverpush sieht das schon anders aus.

Als Gegenmittel schlagen die Autoren der Studie vor, die Rechtevergabe für die Audio-Recording-Möglichkeiten künftig besser zu gestalten. So ließen sich etwa Nutzerbenachrichtigungen einbauen, wenn eine Software Sound aufzeichnet. Zugleich ließe sich die von den Forschern verwendete Software nutzen, um Anwendungen zu erkennen, die derartige Ultraschall-Signale verwenden.

Ähnliche Artikel

  • Delfin-Angriff auf Siri, Alexa und Co.

    Warum ist da nicht schon früher jemand drauf gekommen, fragt man sich unwillkürlich, wenn man das Paper chinesischer Forscher von der Zhejiang-Universität liest. Die Forscher haben einen neuen Weg gefunden, Sprachassistenten wie Siri, Alexa, Cortana und Google Now anzugreifen, ohne dass deren Besitzer es merken: per Ultraschall.

  • Neue Studie: Autorschaft im Kernel

    Der Code-Autorschaft im Kernel widmet sich eine Studie, die kürzlich erschienen ist. Sie betrachtet die Autorenentwicklung in einer historischen Perspektive und kommt zu verschiedenen Erkenntnissen.

  • Top Ten deutscher Passwörter

    Trotz täglicher Meldungen über Daten- und Identitätsdiebstahl - am beliebtesten sind weiterhin schwache und unsichere Passwörter.

  • Open Source Map von Red Hat

    In Zusammenarbeit mit dem Georgia Institute of Technology hat Red Hat eine Open-Source-Studie erstellt und diese zu einer Open-Source-Karte ausgewertet.

  • Umstrittene Fortify-Studie stellt Open Source schlechtes Security-Zeugnis aus

    Eine aktuelle Studie des Security-Herstellers Fortify Software stellt Open Source Software als allgemein unsicher dar und warnt Unternehmensleiter, sich darauf zu verlassen. Der Linux-Magazin-Security-Experte Nils Magnus macht Ungereimtheiten in dem Bericht aus.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.