研究人員在上周的IEEE歐洲議會上表示，他們在近期的一項(xiàng)研究中發(fā)現(xiàn)了234種安卓應(yīng)用會向用戶發(fā)出“允許使用麥克風(fēng)”的請求，以此通過超聲波信號追蹤用戶信息?；诔暡缭O(shè)備追蹤技術(shù)(Ultrasonic Cross-Device Tracking，uXDT)是許多市場和廣告公司的“寵兒”。

超聲波音頻信標(biāo)可以植入電視廣告或網(wǎng)頁廣告，而裝有接收器的移動APP則可以收集這些信標(biāo)。由此，廣告商可以通過此項(xiàng)技術(shù)跨設(shè)備追蹤用戶信息，創(chuàng)建用戶的個(gè)性化檔案，通過分析設(shè)備收集的數(shù)據(jù)了解用戶的興趣所在，從而為每位用戶推薦他們感興趣的廣告。

越來越多的APP開始使用uXDT技術(shù)

在這項(xiàng)研究中，研究人員針對VirusTotal服務(wù)的數(shù)百萬Android應(yīng)用進(jìn)行了分析，他們發(fā)現(xiàn)一小部分應(yīng)用采用名為Shopkick和Lisnr的超聲波音頻技術(shù)。還有不少應(yīng)用則采用了SilverPush SDK，這是個(gè)可讓開發(fā)者對用戶進(jìn)行跨設(shè)備追蹤的SDK。SilverPush、Lisnr和Shopkick都是為開發(fā)者準(zhǔn)備的SDK，這三款SDK都采用超聲波信標(biāo)給移動設(shè)備發(fā)送信息。

開發(fā)者可以通過SilverPush跨多個(gè)設(shè)備追蹤用戶信息，而 Lisnr 和Shopkick 則用于對用戶進(jìn)行位置追蹤。研究人員在分析了大量Android應(yīng)用之后發(fā)現(xiàn)，使用 Lisnr和Shopkick SDK的廠商并不多，但是使用SilverPush SDK的卻大有人在。這份報(bào)告還提到，在研究人員走訪的35家德國零售商店中，就有4家店內(nèi)存在超聲波信標(biāo)。

早在2015年，就有一份研究顯示，樣本中有6-7個(gè)APP使用了SilverPush SDK，該企業(yè)由此監(jiān)視了大約1800萬臺智能手機(jī)，但這一數(shù)量正在不斷上升。

在2016年的BlackHat黑客大會上就有研究人員對uXDT技術(shù)進(jìn)行了展示，并指出這種技術(shù)可以通過反匿名暴露Tor用戶的真實(shí)信息。(例如，在正常情況下，用戶通過比特幣進(jìn)行交易不會留下真實(shí)的身份信息，但一家惡意網(wǎng)站可以追蹤出用戶的真實(shí)身份，或揭露出通過匿名網(wǎng)絡(luò)，如Tor洋蔥網(wǎng)絡(luò)，瀏覽網(wǎng)頁的用戶身份。)

隱私安全將何去何從?

雖然uXDT技術(shù)的應(yīng)用目前尚未“誤入歧途”，但它仍然引發(fā)了許多對隱私的擔(dān)憂——app只需通過麥克風(fēng)接收超聲波就可進(jìn)行追蹤活動，而無需任何移動網(wǎng)絡(luò)或無線網(wǎng)絡(luò)。該研究報(bào)告提到：

“SilverPush的存在實(shí)際上縮小了監(jiān)控和合法追蹤之間的距離。SilverPush和Lisnr采用相似的通訊協(xié)議和信號處理方式。即便用戶指導(dǎo)Lisnr會進(jìn)行地理位置追蹤，SilverPush也不會公開采用這種追蹤功能的應(yīng)用名稱。”

2014年斯諾登事件曝光后，泄露文檔提到美國情報(bào)機(jī)構(gòu)如何獲取國外旅客在不同城市間的動向：機(jī)場會收集這些人所用設(shè)備的MAC地址，而全國各地咖啡廳、餐廳和零售店的WiFi熱點(diǎn)也會進(jìn)行MAC地址識別，情報(bào)機(jī)構(gòu)再對兩者進(jìn)行比對。國外媒體認(rèn)為，超聲波技術(shù)對于夸設(shè)備追蹤用戶動向甚至?xí)懈玫男Ч?/p>

如何進(jìn)行自我保護(hù)?

既然我們無法阻止超聲波信號在自己周圍傳輸，那么為了減少智能手機(jī)被監(jiān)聽的風(fēng)險(xiǎn)，***的方法就是嚴(yán)格限制通過APP對設(shè)備發(fā)起的“請求”。

換而言之，這里我們只需運(yùn)用自己的常識。例如，如果Skype請求“使用麥克風(fēng)”，顯然十分合理的，因?yàn)樵赟kype中將用到這一功能。但倘若美妝或服飾APP發(fā)送這一請求，結(jié)果又將如何?作為用戶，應(yīng)該嚴(yán)格拒絕請求。

為了取消這些不需要的APP請求，一些Android手機(jī)廠商，例如一加為用戶提供了一種叫做“隱私指南”(Privacy Guard)的功能，用戶可以通過這一功能禁止一些與APP基本功能無關(guān)的請求。 Android 7和iOS 10用戶同樣可以通過設(shè)置實(shí)現(xiàn)這一操作。

【本文為51CTO專欄“柯力士信息安全”原創(chuàng)稿件，轉(zhuǎn)載請聯(lián)系原作者(微信號：JW-assoc)】

戳這里，看該作者更多好文