Reklamefirmaers tracking-fidus med ultralyd gennemhuller Tor-sikkerhed

Reklamenetværk, der gør brug af ultralyd, kan også bruges til at blotlægge identiteten på en Tor-bruger.

Black Hat, London. Uhørlige lydbølger kan, når de sendes ud af computerens højtaler, bruges til at identificere en whistleblower på Tor-netværket.

Det fortalte to forskere Vasilios Mavroudis og Federico Maggi under præsentation på Black Hat Europe titlen 'Talking behind your back: Attacks and countermeasures of ultrasonic cross-device tracking.'

Sammen med en række andre forskere - Shuang Hao, Yanick Fratantonio, Giovanni Vigna og Christopher Kruegel - har de kigget nærmere på fænomenet cross device tracking (XDT) via ultralyd.

XDT er noget virksomheder med reklamekampagner er interesserede i. Det går ud på, som navnet antyder, at tracke en bruger på tværs af enheder. Det er let nok, hvis brugeren logger ind på den samme - eksempelvis - Amazon-konto fra henholds en mobil og en computer.

Læs også: Indisk teknologi lader tv-reklamer pinge din smartphone med ultralyd

Men hvad med alle de tilfælde, hvor brugeren ikke logger ind? Eller når der slet ikke er en computer involveret?

Her kommer teknologier som XDT via ultralyd ind i billedet. Scenariet er som følger:

Først installerer brugeren en app på sin mobiltelefon. Som modydelse for eksempelvis fordelagtige rabatter på diverse produkter, giver brugeren appen ret til at lytte med på mobilens mikrofon efter ultralyd.

Det er lydsignaler, som brugeren ikke selv kan høre, men som app'en kan opfange via den almindelige mikrofon i telefonen.

Selve lydsignalerne kan komme via eksempelvis en tv- eller radioreklame. Eller lyd på en hjemmeside.

Ultralyden kan, ligesom den kan opfanges af en almindelig mikrofon, også udsendes via en almindelig højtaler i eksempelvis et tv, en radio ... eller en computer.

Setuppet er, at virksomheden bag reklamekampagnen har mulighed for at registrere via app'en på mobiltelefonen, hvorvidt en bruger har set eller hørt en given reklame i radio eller tv. Og herefter er det muligt at præsentere brugeren for yderligere målrettet indhold på telefonskærmen.

Teknikken kan også bruges direkte i den fysiske verden, når brugeren eksempelvis befinder sig i en butik. Butikken kan have et såkaldt ultrasound-beacon - altså en enhed der udsender ultralyds-signaler - der via kundernes telefoner, sørger for at præsentere dem for særligt indhold, eksempelvis et tilbud.

Identificering af whistleblowere?

Vasilios Mavroudis og Federico Maggi har undersøgt, om tracking-setup'et med de uhørlige lydbølger fra en computers højtaler kan anvendes til at identificere en whistleblower på Tor-netværket.

Maggi og Mavroudis havde egentlig forberedt en live demonstration under deres Black Hat-præsentation, der skulle vise, hvor grelt det kan gå med ultralydsbølgerne, men af en eller anden grund kunne de ikke få adgang til det Tor-nettet fra Black Hat-konferencens net.

Og da den anonyme netværkstjeneste var en ikke uvæsentlig del af deres pointe, nøjedes de i stedet med at afspille en video af demonstrationen, de havde i baghånden.

Videoen går ud på, at en whistleblower gerne vil videregive nogle informationer til en journalist. Da den slags som bekendt kan være en farlig affære, vil whistlebloweren gøre det via Tor-netværket.

Journalisten har sat en .onion-tjeneste (en slags skjult hjemmeside) op på Tor, hvor whistlebloweren kan aflevere sine oplysninger.

Whistlebloweren klikker sig ind på siden, men det skulle hun aldrig have gjort.

Demoen viser, hvordan whistleblowerens telefonnummer, ip-adresse (den rigtige), mail, mac-adresse, Android-ID og sågar IMEI-nummer (unik telefon-identifikator) pludseligt står som klar tekst i browseren.

Sådan kan det ske

Men hvordan? Jo. Forskerne afslørede, at de godt nok snydt lidt, men ikke meget i demonstrationen.

De har antaget, at de har de muligheder, som det, der i cyber-verdenen kaldes en state-level-adversary har. Altså en angriber med en nationalstat i ryggen.

Når det er sagt, så er præmissen for demonstrationen, at journalisten er i ledtog med en nationalstat.

Nationalstaten har oprettet en kampagne hos en udbyder af ultralyds-tracking på samme vis, som en almindelig virksomhed, der ønsker at følge en reklamekampagne, ville gøre det.

Kampagnen, som nationalstaten har oprettet, har kun et formål, at tracke hvem der besøger den pågældende Tor-side.

I stedet for at oprette sin egen kampagne kunne nationalstaten kunne i princippet også have optaget ultralyden fra en eksisterende kampagne, og så genspille den på Tor-siden. Et såkaldt replay-angreb. Det kan lade sig gøre, fordi der ikke er nogen autentifikationsmekanisme forbundet med ultralyds-trackingen.

Derudover har forskerne antaget, at whistleblowerens telefon er i nærheden, mens hun besøger hjemmesiden, og at telefonen har installeret en app med et reklame-framework, der kan opfange ultralydssignalerne.

Signalerne rækker i øvrigt typisk omkring 7 meter i denne kontekst, og det går dårligt gennem mure.

Resultatet er, at når whistlebloweren går ind på siden, opfanger hendes telefon via app'en, signalet. Her er det værd at bemærke, at app'en, ifølge forskerne, ikke behøver være aktiv - den lytter i baggrunden. Telefonen returnerer herefter unikt identificerbare data til ultralyds-tjenesten.

»Frameworket på den mobile enhed aner ikke, hvor beacon'et kommer fra,« sagde Vasilios Mavroudis under præsentationen og fortsatte:

»Det kan ikke rigtigt skelne om det kommer fra en reklame-udbyder (eng. advertiser) eller en modstander (eng. adversary).«

Informationerne, som telefonen returnerer til leverandøren, er rigeligt til at identificere den ellers anonyme whistleblower.

Og her kommer forskernes antagelse om, at en nationalstat er involveret, ind i billedet.

For er der tale om sådan en, er det ikke noget problem at præsentere udbyderen af af en ultralyds-sporings-tjeneste for en dommerkendelse for så at få overdraget alle relevante informationer.

(I demoen havde forskerne fikset det sådan, at app'en videresendte registrerbare data til dem selv i stedet for til en ultralyds-udbyder.)

»Det er vigtigt for os at understrege, at det ikke er særlig svært at få data fra udbydere,« sagde Federico Maggi.

Mavroudis og Maggi kom også med flere andre eksempler på, hvordan det kan være træls i privacy-sammenhæng, når ens telefon opfanger uhørlige lydsignaler. Det vil i denne sammenhæng øvrigt sige lydbølger i spændet fra 18 KHz til 20 KHz.

Mangler standardisering

Og her var deres pointe ikke, at det generelt er en skidt ting, at reklamenetværk kan spore brugere på tværs af enheder via ultralyd. De ser de som sådan ikke som et problem, så længe brugeren er bekendt med, at det foregår, og så længe det ikke kan misbruges i andre sammenhænge.

Men det er ikke helt det, der er situationen nu. Generelt er området med ultralyds-tracking fuldstændigt blottet for standardisering og gennemskuelighed, var deres pointe.

Forskerne har eksempelvis identificeret 67 apps på Google Play, som millioner af brugere skulle have downloadet. Fælles for disse apps er, at de alle implementerer et framework, der netop gør brug af ultralyds-trackingen.

Og det er altså ikke nødvendigvis noget, der bliver skiltet med i apps'ne. Og som en af forskerne gav udtryk for, så er det slet ikke sikkert, app-udviklerne har været bevidste om det, da de valgte frameworket.

Der kan imidlertid sagtens være mange flere apps, der indeholder kode, der kan lytte med på linjen, understregede de. De 67 er blot dem, de lige er faldet over.

Det fremgik ikke af præsentationen, hvor generelt udbredt - også i den fysiske verden - ultralyds-tracking er. Eller om det er mere et amerikansk end et europæisk fænomen.

Men forskerne kunne dog meddele, at »»the eco-system is growing very fast.«

De to forskere havde også flere forslag til at forbedre situationen. Forslagene var alt fra en mere finkornet Android-indstilling, så det er muligt specifikt at godkende eller nægte tilladelse til apps' brug af ultralyd.

Og i forhold til Tor har de indsendt en bug-report i relation til ultralyds-angrebet.

I det hele taget efterlyste de et mere standardiseret system i forhold til den slags tracking. Eksempelvis så ultra-lydsignaler kunne autentificeres i stedet for - som det er tilfældet nu - bare at blive opfanget af enheden.

Båndbredden er knap

Problemet her er, at ultralyds-båndbredden er knap. Det er altså stærkt begrænset hvor meget data, der kan kommunikeres i løbet af de få sekunder, sådan et ultralyds-beacon varer.

Og hvis signalet så oveni både skal indeholde en autentifikations-procedure og måske være krypteret, ender det med at give et relativt stort overhead i forhold til den samlede mængde data, der kan transmitteres.

For at komme folk til midlertidig undsætning har forskerne udviklet en Chrome-app, der kan bruges til at blokere for ultralyds-signalerne, en hjemmeside måtte sende ud af en computer-højtaler.

App'en hedder Silverdog, hvilket er en reference til ultralyds-tracker-virksomheden SilverPush.

Når det kommer til forsvar mod ultralydstracking, foreslog en af tilhørerne til præsentationen, om det ikke også kunne være en løsning bare at slukke helt for computerhøjtalerne for at være på den sikre side - altså på samme måde som nogen putter et stykke tape over deres webcam.

»Absolutely,« lød det nogenlunde samstemmende svar fra Vasilios Mavroudis og Federico Maggi.

Holdet bag privacy-problemerne i forhold til ultralyds-tracking har lavet en hjemmeside om emnet, der ligger på denne adresse: http://ubeacsec.org/

Ultralyds-kommunikation bruges i øvrigt også til andet en tracking. Eksempelvis i forbindelse med opsætning af Googles ChromeCast, kunne forskerne meddele. På den måde kan telefonen registrere, når den er i nærheden af en enhed, der kan castes til.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#7 Michael Westergaard

Det er soedt, som forkere har det med at vaere bagefter industrien. for et par aar siden, arbejdede jeg for en af de foerende virksomheder indenfor (primaert usynlige) video- og audiovandmaerker.

Et af de brugsscenarier vi talte om, var at putte vandmaerker ind i TV-reklamer, saa man kunne sende en reklame for samme produkt i browseren.

Da alle (eller i hvert fald naesten alle) set top-bokse allerede tilfoejer unikke video-vandmaerker til alt, der sendes, er der ikke langt til ogsaa at smide et audiovandmaerke ind for ogsaa at identificere brugeren.

  • 1
  • 3
#8 Benjamin Balder

Det har ikke nødvendigvis noget at gøre med, om du giver adgang til mikrofonen. Som artiklen giver eksempler på, kan du jo opholde dig i nærheden af andre enheder (f.eks. smartphones) som tracker ultralyd, der kommer ud fra dine højtalere. Der er traditionelt mindre sikkerhed ifm. afspilning af lyd.

Et interessant modtræk kunne være, hvis operativsystemets lydsystem f.eks. ALSA får et indbygget filter, der fjerne ultralyd...?

  • 5
  • 0
#10 Bent Jensen

Man kunne jo også slukke for telefonen og andre elektroniske enheder hvis man laver ting der har behov for ekstra høj sikkerhed...

Nej det er ikke nok, det eneste som en slukket telefon viser, er at den ikke udsender lys og lyd. Den kan sagten stå og optage, også sende hele pakken, når du kommer på nettet. Det gælder alt elektronik, smart tv, pc, ...

Du skal tømme rummet for elektronik, for at være på den sikker side. En tur på stranden nøgen, heller ikke med ure og høreapparater med et 3M filter og et pap rør til den andens øre , , er nok det tætteste du kommer på at være sikker. Hvis ingen specifikt overvåger dig.

  • 2
  • 0
Log ind eller Opret konto for at kommentere