Ein Forscher-Team der TU-Braunschweig hat herausgefunden, dass Android-Apps als Späher eingesetzt werden. Mehr als 230 der Apps können uns sogar über mehrere Geräte hinweg dank Ultraschall-Signalen im Blick behalten und Informationen speichern. Diese Informationen werden verwendet, um Werbung noch besser auf uns zu zuschneiden.
Per Ultraschall werden Apps zu echten Spähern
Es ist immer dabei: Das Smartphone ist zu einem wichtigen Teil unseres täglichen Lebens geworden, vereinfacht es und macht uns jederzeit erreichbar. Doch die kleinen Helferlein speichern auch unsere Daten und geben sie weiter. Damit Unternehmen auf die Nutzer zugeschnittene Werbung versenden können, wird nun zu einer bestimmten Technik gegriffen. Die Rede ist von Ultrasound-Cross-Device-Tracking, auch als uXDT bekannt. Hierbei handelt es sich nicht um eine neue Funktion. Tatsächlich haben Datenschützer bereits im Jahr 2015 auf die Gefahren hingewiesen. Über das uXDT ist es möglich, die Nutzerdaten sogar über mehrere Geräte hinweg zu sammeln. Forscher von der Universität Braunschweig haben jetzt herausgefunden, dass die Zahl der Apps, die über diese Technik verfügen, beträchtlich gestiegen ist. Sie haben in einer App-Studie ihre Ergebnisse festgehalten.
Sprunghafte Zunahme der Spionage Apps
Nachdem 2015 das erste Mal über das Thema gesprochen wurde, war es nur einige Apps, die mit Ultraschall gearbeitet haben. Gerade einmal sechs Anwendungen waren betroffen. Schon zum Ende des Jahres 2015 hin hat sich die Zahl mehr als versechsfacht. Von rund 1,3 Millionen untersuchten Apps waren 39 betroffen. Auch 2017 wurde wieder ein Test durchgeführt und die Ergebnisse sind erschreckend. Bei 234 Apps für Android wurde das Ultrasound-Cross-Device-Tracking nun festgestellt. Auch wenn dies, im Vergleich zur aktuellen Auswahl an Apps auf dem Markt, noch relativ überschaubar ist, wird deutlich, dass Ultraschall-Tracking immer häufiger zum Einsatz kommt und gerade für Werbetreibende viele Vorteile mit sich bringt. Es ist also davon auszugehen, dass die Zahl der Apps weiter zunimmt.
Ultraschall-Tracking – was ist das?
Die Informationen zum Ultraschall-Tracking klingen erschreckend, doch was genau sorgt dafür, dass uXDT dieses Erschrecken auslöst? Ein wichtiger Punkt hierbei ist, dass das Tracking nicht auf einem Gerät verbleibt, sondern auch auf andere Geräte ausgeweitet werden kann. Das heißt, die Anwendungen können nicht ausschließlich die Nutzerdaten vom Smartphone weiterleiten. Sie können theoretisch sogar erkennen, welche Werbung im Fernsehen angesehen und welche Webseiten über den PC ausgewählt werden.
Dazu kommt, dass uXDT keine Zustimmung vom Nutzer braucht, um seine Arbeit zu machen. Viele Besitzer von Smartphones wissen also gar nicht, dass sie ausgespäht werden. Damit kann der Nutzer auch nicht entscheiden, dass er dies eben nicht möchte.
Die ultrasonic beacons, kurz als uBeacons bezeichnet, sind kleine Datenpakete, die durch das uXDT an verschiedene Geräte verschickt werden. Zu diesen Geräten gehören Tablets und Computer oder auch Smart-TVs. Durch Mikrofone am Smartphone werden die uBeacons dann aufgenommen. Für das menschliche Gehör sind die Sequenzen nicht wahrnehmbar. Sie bewegen sich lediglich in einem Bereich von 18 bis 20 kHz. Das heißt, sie gehören zum Ultraschall-Bereich.
Unternehmen nutzen die uBeacons und binden sie in der TV-Werbung oder auf Webseiten ein. Dabei sind diese jedoch nicht zu sehen. Wenn ein Nutzer nun mit seinem Smartphone in der Nähe der Geräte ist, die uBeacons aussenden, werden diese aufgenommen. Das Smartphone vermerkt Cookies, die über eine jeweilige Identifikationsnummer verfügen. Die Betreiber der App haben damit die Möglichkeit, Nutzerdaten zu sammeln. Sie können erkennen, welche Werbung auf den jeweiligen Geräten wie lange angesehen wird. Zudem ermöglichen die uBeacons Aufschluss über die Surfaktivitäten des Nutzers und seinen Aufenthaltsort. Und das nicht nur über das Smartphone, sondern auch über andere Geräte.
Dadurch wird das Ultrasound-Cross-Device-Tracking sehr gerne für das Location-Based-Marketing eingesetzt. Dieses bezieht sich auf die anbieter- und ortsbasierte Werbung. Damit haben Händler die Möglichkeit, den Nutzern der Anwendungen Werbeangebote zu schicken, die komplett auf sie zugeschnitten sind.
Im Rahmen der Auswertungen haben die Forscher verschiedene Webseiten, Werbespots und Apps geprüft. Sie wollten herausfinden, welche Länder auf der Liste der Unternehmen, die uXDT nutzen, besonders weit oben stehen. Gerade im Raum Südostasien ist dies sehr weit verbreitet. Die Forscher haben dort beispielsweise feststellen können, dass Unternehmen, wie Krispy Kreme und McDonald’s, auf diese Technik setzen. Entwarnung gibt es derzeit noch für Europa. Hier wurden 35 Geschäfte untersucht. Vier davon haben die Technik genutzt. Bei den Fernsehsendern konnten noch gar keine Anzeichen für eine Verwendung gesehen werden.
uXDT gehört längst zum Tagesgeschäft
Gerade große Unternehmen, wie Google oder Facebook, brauchen kein uXDT. Die Nutzer, die sich hier anmelden, stimmen freiwillig zu, sich über mehrere Geräte einzuloggen. Anders sieht es jedoch bei anderen Unternehmen aus. Diese greifen daher auf Ultraschall-XDT zurück. So haben Unternehmend die Möglichkeit, in einem Ultraschallbereich von 18 bis 29 kHz, Werbebanner auf Webseiten einzubinden, die dann von den präparierten Apps empfangen werden, wenn der Nutzer in der Nähe der Werbung ist. Für das menschliche Ohr gibt es keine Informationen.
Science-Fiction in der Zukunft? Das ist es schon längst nicht mehr. Inzwischen ist uXDT weit verbreitet. So gibt es Unternehmen, wie beispielsweise Silverpush aus den USA, die bereits seit Jahren eigene SDKs anbieten. Diese können Entwickler dann in den Apps verbauen. Wird durch ein SDK uXDT unterstützt, werden die Signale über die Mikrofone der Geräte empfangen.
Tor-Nutzer bleiben nicht länger anonym
Um sich im Internet oder auch im sogenannten Dark Net anonym bewegen zu können, verwenden immer mehr nur das Tor Netzwerk und den Tor Browser. Doch wenn ein Tor-Nutzer ein Tablet oder ein anderes Endgerät in seiner Nähe hat, das über ein Werbe-SDK verfügt, reagiert dies auf Ultraschallsignale, die dann weitergeleitet werden. Es ist nicht notwendig, dass das SDK bewusst durch den Nutzer installiert wird. Die Signale können mit einer Reichweite von immerhin bis zu 7 m agieren. Diese Reichweite greift allerdings nur dann, wenn keine physischen Hindernisse im Weg sind. Das Team rund um Mavroudis konnte auf diese Weise verschiedene Informationen erhalten. Dazu gehören Geolokalisierungsdaten, IP- und Mail-Adressen sowie Telefonnummern und auch IMEI der verwendeten Geräte. Damit konnten sie in Echtzeit die Smartphones anonymen Tor-Nutzern zuordnen. Auch wenn der Tor-Browser grundsätzlich über die NoScript-Aktivierung verfügt und damit das Javascript blockiert wird, ist eine Deanonymisierung möglich. Das hängt damit zusammen, dass die Webseiten in der Lage sind, Audiosignale über eine HTML5-Audio-API umzusetzen. Auch dies bleibt vom Nutzer unbemerkt.
Interessanter Aspekt auch für staatliche Angreifer
Interessant kann der Aspekt der Deanonymisierung vor allem auch für staatliche Angreifer sein. Geheimdienste haben kaum noch Arbeit damit, an relevante Daten zu gelangen. Sie brauchen lediglich den Zugriff auf die Informationen, die bei den Werbefirmen eingehen. Das ist inzwischen in vielen Ländern möglich, ohne dass hier eine richterliche Genehmigung vorliegen muss.
Ein wichtiger Aspekt ist zudem, dass der Tor-Nutzer sich nicht einmal auf einer der Webseiten mit Ultraschall-Signalen bewegen muss. Es gibt im Browser verschiedene Schwachstellen, wie Mavroudis sagt, die genutzt werden können, um Schadcodes in normale Webseiten zu integrieren. Eine weitere Variante ist die Verwendung von Tor-Exit-Nodes. Über diese kann der Schadcode einfach in den Datenstrom integriert werden. So lassen sich Ultraschallsignale emittieren.
Anwenderschutz gibt es bisher kaum
Mit zunehmender Ausstattung der Apps durch Werbe-SKDs, die über eine uXDT-Technologie verfügen, wird dieser Vektor interessanter. Mavroudis greift dieses Thema daher bewusst auf und weist die App-Entwickler darauf hin, dass sie Codes, die sie in ihre Anwendungen integrieren, vorher prüfen sollten. Nur so lässt sich verhindern, dass Spyware durch die Apps auf den Markt kommt. Anwender selbst haben nur wenige Möglichkeiten, um sich zu schützen. So lange sie nicht auf die Nutzung von werbefinanzierten Apps verzichten, kann es ihnen passieren, dass sie eine uXDT-fähige SDK auf dem Smartphone installieren. Bisher gibt es noch keine gesetzlichen Beschränkungen für diese Technologie. Allerdings arbeitet die Federal Trade Commission aus den USA daran.
Mittlerweile steht mit Silverdog eine Erweiterung für Chrome-Nutzer zur Verfügung. Diese Extension soll es möglich machen, den Ultraschall durch den Browser zu filtern. Entsprechende Varianten könnten auch direkt in den Code des Betriebssystems Android übernommen werden. Damit müssten die Nutzer zustimmen, dass Ultraschall emittiert werden darf.