Наверное, многие сталкивались с ситуацией, когда вы ищете в сети подходящую модель кроссовок, закрываете браузер и со спокойной душой уходите на работу или гулять. А затем, по возвращению, вы открываете браузер, где видите контекстную рекламу с кроссовками. И всю неделю или даже месяц рекламные баннеры демонстрируют вам только спортивную обувь или одежду. Об этом много раз писали, так что повторяться нет смысла. К такому поведению контекстной рекламы привыкли многие пользователи.
Но рекламные технологии развиваются, и вскоре может возникнуть ситуация, когда пользователь ищет что-то на одном устройстве, а затем навязчивая реклама будет преследовать пользователя на всех его девайсах. Как такое возможно? Благодаря ультразвуковой технологии, о которой на днях рассказал Василиос Мавродиус (Vasilios Mavroudis) из Университетского колледжа Лондона. Кроме рекламы, метод может использоваться и для подслушивания разговоров пользователей. Мавродиус с коллегами выступил с докладом о потенциальной опасности ультразвуковых технологий в сети на конференции Black Hat.
Интересно, что ультразвук уже довольно давно используется маркетологами и рекламщиками для идентификации и отслеживания пользователей, которые заинтересовались рекламными материалами. Ультразвук здесь работает в качестве «мультиплатформенных кукисов». Аудиофайлы встроены в некоторые рекламные материалы на ТВ или в рекламные материалы в сети. Эти звуки, неслышимые ухом человека, фиксируются микрофонами практически всех устройств. Ультразвук может использоваться в качестве триггера для запуска какой-либо функции на гаджете пользователя.
В качестве примера можно привести технологию SilverPush индийской компании, которая может определить ультразвук, встроенный в ТВ-рекламу или браузерную рекламу. Приложение с кодом SilverPush без проблем перехватывает сообщения со встроенного микрофона на смартфоне или планшете, и отправляет на серверы компании IMEI, местоположение пользователя, версию его ОС и данные самого владельца. Как это работает? Относительно просто. Например, телезритель просматривает телевизионное шоу. На экране телевизора появляется реклама со встроенным ультразвуковым сообщением SilverPush. Сообщение получает приложение на смартфоне, и данные о пользователе уходят в сеть, на сервера рекламодателя. На дисплее телефона в это время вполне может демонстрироваться реклама, включая ссылки или веб-страницу. Индийцы разработали собственный SDK, помогающий без проблем встроить технологию в любое свое приложение.
Мавродиус утверждает, что у описанной технологии гораздо более обширная сфера применения. Некоторые приложения, включая Shopkick, используют ультразвук для того, чтобы показывать пользователям мобильных устройств рекламу и промо-материалы в то время, как пользователь что-то покупает. Такое приложение помогает в некоторых случаях получить скидку.
«Здесь не нужен никакой специальный метод. Если вы в супермаркете, хватает обычных динамиков», — говорит Мавродиус.
Кто может подслушивать?
Ультразвуковая технология, используемая маркетологами и рекламщиками, может использоваться и злоумышленниками, цели которых далеки от намерения помочь пользователю купить что-то нужное. Уже сейчас разработчики некоторых приложений добавляют в свой софт ультразвуковые вставки, помогающие собирать данные о пользователе даже тогда, когда само приложение выключено. Федеральная торговая комиссия США (FTC) наказала 12 разработчиков таких программ, следивших за пользователем без каких-либо уведомлений. Комиссия наказала лишь разработчиков, приложения которых удалось проанализировать. Сколько на самом деле таких мобильных программ в маркетах — неизвестно. Предупреждение получала и компания SilverPush.
Пресс-секретарь FTC заявил, кто регулятор продолжает следить за ситуацией, и будет строго наказывать всех, кто использует ультразвук для слежки за пользователями приложений. И это только одна из проблем, описанных Мавродиусом и его коллегами, причем не самая опасная.
Беспокоиться стоит в отношении программ, которые могут использовать ультразвук для подслушивания всех разговоров пользователя, находящегося в радиусе действия микрофонов своих устройств (в доме, офисе или на улице). Теоретически вполне возможно создать ультразвуковую метку (как в магазинах), отправляющую на телефон пользователя вредоносное сообщение.
Уязвимость и технология, которые описываются выше, пока что не слишком распространены. Но простота использования ультразвуковых технологий привлекает многих разработчиков, как добропорядочных, так и не очень. Ультразвук можно задействовать, например, при работе с IoT-приложениями, которые также становятся все более распространенными.
Google использует ультразвук для подключения мобильного телефона к Chromecast. Синхронизация такого типа (у Google есть и другие наработки из этой сферы) — потенциальный канал утечки информации, который могут использовать злоумышленники. Конечно, ультразвук сам по себе не даст в руки киберпреступникам много данных. «Но если вы знаете, что делать, то вы можете взломать систему всего лишь отправив несколько байтов. После вы получаете возможность управлять взломанной системой. Не всегда для того, чтобы сделать что-то плохое, нужно отправлять или получать массивы информации», — говорит профессор Му (Mu) специалист из Нортгемптонского университета (Великобритания).
Проблема усугубляется тем, что пока не разработаны правила использования ультразвуковых вставок в приложениях и рекламе. Правил и инструкций просто нет.
Мавродиус говорит, что для ультразвуковых технологий необходимо разработать такие же и спецификации, какие были разработаны для других беспроводных технологий, включая Bluetooth. Кроме того, разработчикам приложений стоит уже начать создавать защитные программы. Например, фильтр ультразвука для Google Chrome, блокирующий любой сайт, где содержатся ультразвуковые вставки. Еще один способ защиты — создание патча для мобильных устройств, который покажет пользователям, какие сайты или приложения содержат ультразвуковые вставки и предупредят о потенциальной опасности.
Специалисты считают, что если не начать контролировать ультразвуковые технологии сейчас, со временем проблема только усугубится.
Комментарии (28)
SamoilowAlex
31.10.2016 16:36+1Когда уже в мобильных ос появится нормальная реализация прав доступа от приложений к железу, которая вполне может защитить от подобных атак? А пока заклеиваем скотчем не только камеры, то и микрофоны.
lopatoid
31.10.2016 16:57+1Уже. В Android 6 приложение может получить доступ к микрофону только после разрешения пользователя.
http://www.welivesecurity.com/wp-content/uploads/2015/05/cropped_runtime_permissions.png
Graf_Trahula
31.10.2016 17:01А без разрешения работать оно откажется…
lopatoid
31.10.2016 17:04Не откажется. В приложении не будет работать только микрофон, всё остальное будет работать как обычно.
vikarti
01.11.2016 05:14Если автор так захотел.
но никто не мешает требовать разрешение, обьясняя что 'очень очень надо и пользователю будет лучще' а если пользователь откажется — сказать что работать не будем пока не выдаст.
кстати не обязательно ультразвук.
Есть такая компания Digimarc… выпускающая один очень интересный SDK на базе которого можно
например сделать (и собственно уже почти сделано — см например http://hochuradio.com ) вот что: пользователь слушает радио а на смартфоне (iOS/Android) у него запущено (возможно в фоне) приложение, в аудиопоток внесены специальные метки, благодаря которым сервер во первых знает когда (и кто — логин/пароль/аккаунт ВК/FB) слушает станцию, а также встраивать в аудиопоток рекламные предложения (у пользователя будет нотификация показана) или там мини-игры.
В данном правда случае если пользователь откажется доступ давать — ну значит откажется, остальное работать будет правда смысла мало.
Зачем пользователю это ставить? Например скидки там разные, а также — встроенный в приложение аналог Shazam'а с некоторыми расширенными возможностями.
SamoilowAlex
31.10.2016 17:09Ну да, только «типичный пользователь» жмет «Ok-Ok-Ok-Done» не задумываясь, так что маркетологи всеравно получат что хотят.
SamoilowAlex
31.10.2016 17:23И еще Гуюгл является большим игроком на рынке рекламы и может предустанавливать в свои ведроиды фактически все что пожелает с любыми правами доступа.
SandroSmith
31.10.2016 19:20А разве все разрешения не запрашиваются при установке? И если не дать добро на установку, то оно и не поставится?
lopatoid
31.10.2016 20:03Начиная с Android 6 — нет.
SandroSmith
01.11.2016 13:11Не знаю, может на голом андроиде и так, но у меня на стоковой прошивке от Samsung версии 6.0.1 во-первых выбрать разрешения при установке нельзя — либо соглашаешься со всем, либо идёшь лесом. Во-вторых после установки ничего не запрашивается — доступ к камере, микрофону и геолокации есть без лишних вопросов.
istui
01.11.2016 23:15В iOS тоже на доступ к микрофону нужно разрешение. Так что не совсем понятно, какая целевая платформа у этой технологии… Разве что андроид до 6 версии + приложения типа Shazam, у которых микрофон — основной функционал?
SamoilowAlex
02.11.2016 12:55Ну да, а еще ios — это большой блоб от apple, которая сотрудничает с поисковыми сетями и ничто ей не мешает добавить в свои прошивки «скрытый функционал». С ведроидом та же история, только похуже т.к. гуюгл является крупным игроком на рекламном рынке(Кастомные прошивки? Так их ставит довольно низкий процент пользователей, которые наверняка adblock используют и таргетивную рекламу всеравно не видят).
Wolframium13
31.10.2016 17:26«…для идентификации и отслеживания пользователей, которые заинтересовались рекламными материалами. »
Вот с этим то и проблема. То, что я вынуждено просмотрел рекламу по Тв/Ютубу не равно тому, что я ей заинтересовался.
В итоге мне по телефону будут крутить не интересную мне рекламу, а ту, от которой меня перекосило первый раз по Тв.
handicraftsman
31.10.2016 20:11Ждём появления ультразвуковых файрволлов.
tandzan
31.10.2016 20:56дроссель последовательно с динамиком?
dron_k
01.11.2016 02:01Если уж параноить то дроссель будет рассеивать сигнал в виде электромагнитного излучения которое могут перехватить в случае если он на динамике,
или навести вредный сигнал если он на микрофоне,
безопаснее шунтировать конденсатором параллельно.
Да и дроссель эффективный в звуковом диапазоне будет довольно дорогим и большим в масштабах телефона по сравнению с конденсатором.
alex1603
31.10.2016 20:55Потрясная технология! Следующее вычисляем вас по дыханию. Ведь То как дышат люди о многом может рассказать! Или уже придумали?..
dron_k
01.11.2016 01:54новая фича для настройки безопасности андроида
— этому приложению доступ к микрофону и динамику запрещен (напр. фонарик)
— этому приложению доступ к микрофону и динамику только на частотах 200Гц-12кГц (напр. скайп)
— этому приложению полный доступ только к динамику (напр. аудио/видео плеер)
— дефолтный профиль для всех приложений 500Гц-8кГц
anmipo
01.11.2016 11:58Беспокоиться стоит в отношении программ, которые могут использовать ультразвук для подслушивания всех разговоров пользователя
Пользователь — дельфин?
T-362
Взываю к гуру звука — разве серийные массовые микрофоны и динамики могут выдавать и ловить ультразвук (особенно мобильные, обычно у них и простой то звук не отличается качеством, какое там ультразвук)? А если да — разве не проще будет гасить его на уровне драйверов/железа чем встраивать в каждое приложение по костылю?
jar_ohty
Вовсе не обязательно, чтобы там был прямо-таки совсем ультразвук. Если тихонько и коротко посвистеть на 15-16 кГц, при наличии фонового звука, никто ничего не заметит. А мелкие микрофоны и динамики такое свободно пропустят.
Meklon
Furby так общаются. Там ниже ультразвука, но слышно слабо.
lubezniy
А почему нет? Ухо не слышит, а мембрана может колебаться и с частотой выше 20 кГц. Да и около 20 уже не очень-то слышно.