Специалисты Брауншвейгского технического университета представили на IEEE European Symposium on Security and Privacy интересный доклад (PDF), согласно которому все больше Android-приложений могут обнаруживать и отслеживать специальные ультразвуковые маячки, что позволяет различным компаниями шпионить за пользователями.
Специалисты называют эту технологию uXDT (ultrasound cross-device tracking, ультразвуковой межустройственный трекинг), и в докладе сказано, что в последние три года uXDT набирает все большую популярностью. К примеру, возможно внедрять специальные ультразвуковые сигналы, которые не различает человеческое ухо, в рекламные ролики, которые проигрываются по ТВ или на радио. Точно так же ультразвуковой «маячок» может быть внедрен и в сетевую рекламу, которую воспроизводит ПК или мобильное устройство, или может использоваться в магазинах в оффлайне.
Смысл в том, что микрофоны, находящиеся рядом с источником звука (в ноутбуках, смартфонах, планшетах и так далее), способны улавливать этот сигнал. Если при этом на устройстве установлено приложение, чей SDK содержит функциональность по поиску таких маячков, «услышав» ультразвук, приложение доложит на удаленный сервер о том, пользователь, который владеет телевизором X, только что прослушал рекламу, которую также «слышал» смартфон Y. Все это позволит составить более полный профиль пользователя, узнать какими устройства тот владеет, чем интересуется, когда бывает дома и так далее.
Исследователи рассказывают, что в основном за такую функциональность ответственны разработчики компаний Shopkick, Lisnr и SilverPush. А когда специалисты попытались разобраться, насколько распространено использование uXDT в Европе, выяснилось, что ультразвуковые «маячки» Shopkick можно обнаружить в 4 из 35 магазинов в двух неназванных городах. Хотя, чтобы осуществлять слежку, нужно чтобы пользователь запустил на своем устройстве Shopkick SDK, это не такая уж большая проблема: производители, владельцы магазинов и рекламные компании часто побуждают пользователей устанавливать и запускать приложения (к примеру, чтобы получить скидку).
Также специалисты изучили телевещание в семи европейских странах, но, к счастью, пока не выявили ультразвуковых маркеров в передачах, то есть использование uXDT в телевизионной рекламе пока не так распространено.
«Хотя слежка через телевизионный контент пока не используется активно, мониторинговая функциональность уже применяется в мобильных приложениях, и это может стать серьезной угрозой приватности в самом ближайшей будущем», — пишут специалисты.
Тревога специалистов связана с тем, что в ходе изучения 1,3 миллионов мобильных приложений они обнаружили 234 Android-приложения, готовых к работе с uXDT. Стоит заметить, что количество таких приложений возросло на порядок, к примеру, еще в декабре 2015 года их насчитывалось всего 39 штук.