it-swarm.com.de

Wie kann ich die Verwendung von Ultraschall-Seitenkanälen oder der Google Nearby Messages API auf meinem Smartphone blockieren oder zumindest erkennen?

Meine Frage betrifft die Verwendung von Ultraschallnachrichten, die Teil des modernen Werbeökosystems sind und auch von der Google Nearby Messages API verwendet werden.

Wenn es um Werbung geht, wird die Art der Ultraschallnachrichten, auf die ich mich beziehe, in dieser verkabelte Artikel mit dem Titel "So blockieren Sie die Ultraschallsignale, von denen Sie nicht wussten, dass sie Sie verfolgen" ab 2016 beschrieben. Der Artikel sagt (Hervorhebung hinzugefügt):

Die als geräteübergreifende Ultraschallverfolgung bezeichnete Technologie bettet Hochfrequenztöne, die für Menschen unhörbar sind, in Anzeigen, Webseiten und sogar an physischen Orten wie Einzelhandelsgeschäften ein . Diese Ultraschall- "Beacons" senden ihre Audiosequenzen mit Lautsprechern aus, und fast jedes Gerätemikrofon - wie das, auf das eine App auf einem Smartphone oder Tablet zugreift - kann das Signal erkennen und ein Bild davon erstellen, welche Anzeigen Sie gesehen haben, was Websites, die Sie gelesen haben, und sogar dort, wo Sie waren.

Der Wired-Artikel erwähnt auch Folgendes:

Nun, da Sie ausreichend besorgt sind, ist die gute Nachricht, dass Santa Barbara auf der Black Hat Europe-Sicherheitskonferenz am Donnerstag, einer Gruppe an der University of California, einen Android Patch und ein =) präsentieren wird Chrome-Erweiterung, mit der Verbraucher mehr Kontrolle über das Senden und Empfangen von Ultraschallabständen auf ihren Geräten haben.

Da der Artikel aus dem Jahr 2016 stammt, habe ich mir die Black Hat Europe-Konferenz aus diesem Jahr angesehen, um weitere Informationen zum Android Patch) zu erhalten. Die im Wired-Artikel erwähnte Präsentation scheint dieser .

Die Präsentationsfolien (verfügbar hier ) führten mich zur beacsec.org-Website , auf der die Forscher einen Android Patch) haben, wie in der Kabelgebundener Artikel. Leider handelt es sich bei diesem Patch um einen Forschungsprototyp für Android-5.0.0_r3.

Es gibt auch dieses Forschungspapier von 2017 mit dem Titel "Datenschutzbedrohungen durch Ultraschall-Seitenkanäle auf Mobilgeräten". Die Autoren dieses Papiers haben zum Beispiel herausgefunden, dass

  • Werbeplattformen wie Universal Analytics von Google und Conversion Pixel von Facebook stellten Dienste bereit, die diese Technologie nutzen. Die Forscher analysierten drei kommerzielle Lösungen: Shopkick, Lisnr und Silverpush.
  • 234 Android -Anwendungen lauschten ständig auf Ultraschallbaken.
  • Von 35 in europäischen Städten besuchten Geschäften verwendeten 4 zum Zeitpunkt der Untersuchung Ultraschallbaken.

Auf jeden Fall geht es mir nicht nur darum, Werbetracker zu blockieren. Obwohl die Marketingabteilungen der größte Verbraucher dieser Technologie sind, kann sie auch auf viele andere Arten genutzt werden.

In der obigen Black Hat-Präsentation 2016 wurde ein alternatives Beispiel für die De-Anonymisierung von Benutzern bereitgestellt, die eine "Honeypot" -Website im Tor-Netzwerk besuchen.

Dieses Problem hängt mit einer anderen Technologie zusammen, nämlich der Google Nearby Messages API. Das von Google über diese Technologie verfasste Übersichtsdokument ( hier ) besagt Folgendes (Hervorhebung hinzugefügt):

Die Nearby Messages API ist eine Publish-Subscribe-API, mit der Sie kleine binäre Nutzdaten zwischen mit dem Internet verbundenem Android und übertragen können iOS-Geräte . Die Geräte müssen sich nicht im selben Netzwerk befinden , aber sie müssen mit dem Internet verbunden sein.

In der Nähe wird eine Kombination aus Bluetooth, Bluetooth Low Energy, Wi-Fi und Ultraschall in der Nähe verwendet, um einen zeitlich eindeutigen Pairing-Code zwischen Geräten zu kommunizieren.

Die Bedenken bezüglich der API für Nachrichten in der Nähe sind:

  1. Seine Fähigkeit, kleine binäre Nutzdaten, d. H. Vermutlich ausführbaren Code, zu übergeben.
  2. Während es einfach ist, Bluetooth und WiFi auf einem Smartphone zu deaktivieren, ist es nicht so einfach, das Mikrofon zu deaktivieren.

Zu der Frage, ob die API in der Nähe Bluetooth für Vorgänge benötigt:

In der Dokumentation zu NearbyMessages auf CocoaPods (für Apple Geräte)) heißt es: hier :

Standardmäßig werden beide Medien (Audio und Bluetooth) verwendet, um Geräte in der Nähe zu erkennen, und beide Medien senden und scannen.

[...]

In einigen Fällen muss Ihre App möglicherweise nur eines der Medien verwenden, und es muss möglicherweise nicht sowohl gesendet als auch gescannt werden.

Beispielsweise muss eine App, die für die Verbindung mit einer Set-Top-Box ausgelegt ist, die über Audio sendet, nur über Audio scannen, um sie zu erkennen.

Wie im obigen Text erläutert, kann die API bei Bedarf ausschließlich Ultraschall verwenden. Da die API anscheinend in Android als Standardfunktion (im Paket com.google.Android.gms.nearby) Enthalten ist, sollte keine bestimmte App erforderlich sein, die die Nachrichten abhört. Dies gilt auch angezeigt durch die Antwort hier .

Frage:

Gibt es Möglichkeiten, die Verwendung von Ultraschall-Seitenkanälen oder der Google Nearby Messages API auf meinem Smartphone zu blockieren oder zumindest zu erkennen?

( Update: Mit dieser Frage meine ich nicht nur, wie man eine solche Verwendung durch Apps erkennt, die ich installieren könnte, sondern auch durch Googles eigenes User-Tracking/Werbung Prozesse, die möglicherweise sofort ausgeführt werden.)

7
user100487

Dies ist nicht die Antwort, nach der Sie suchen, aber es ist zu lang für einen Kommentar.

Apps sammeln Ihre persönlichen Daten, da diese Teil ihrer Finanzierungsprogramme sind. Indem Sie die Sammlung mit technischen Mitteln verhindern, verstoßen Sie gegen einen impliziten Pakt mit ihren Entwicklern. Wenn Sie Ihre Informationen nicht verlieren möchten, sollten Sie die Berechtigungsanforderungen und Datenschutzrichtlinien lesen und eventuell keine Apps installieren, die nicht Ihren Datenschutzstandards entsprechen.

Es liegt in der Verantwortung eines anständigen Betriebssystems, den Benutzer in die Lage zu versetzen, App-Berechtigungen zu verstehen und einzuschränken. Jeder Versuch, es mit technischen Mitteln zu hacken, könnte es für wenige technische Leute lösen, würde aber den Rest der Bevölkerung exponieren. Dies ist das übliche Szenario "Ich muss nicht töten oder schneller als der Löwe rennen, ich muss nur schneller rennen als ihr", nach dem die meisten Hacker der großen Tech-Unternehmen heutzutage die meisten Hacker vom Rudel trennen.

Wie auch immer, aus dem Android-Handbuch :

Um sicherzustellen, dass Benutzer die Kontrolle über die Benutzererfahrung haben, wird beim ersten Zugriff des Benutzers auf die API für Nachrichten in der Nähe ein Anmeldedialogfeld angezeigt

Lösung: Beantworten Sie den Dialog mit Nein

Sie können den Anmeldedialog vermeiden, wenn Ihre App die Berechtigung ACCESS_FINE_LOCATION erhalten hat und BLE nur beim Veröffentlichen und Abonnieren verwendet.

Lösung: Installieren Sie die App nicht mit der Berechtigung ACCESS_FINE_LOCATION (Berechtigungen sind auf den Play Store-Seiten verschachtelt/ausgeblendet).

1
Enos D'Andrea