个人隐私安全该何去何从——大量APP偷偷收集追踪个人信息”要求通过超声波信号追踪用户信息。超声波跨设备追踪(uXDT)是众多市场和广告公司的“宠儿”。超声波音频信标可以嵌入电视广告或网络广告中,配备接收器的移动应用程序可以收集这些信标。因此,广告商可以利用这项技术跨设备跟踪用户信息,创建用户的个性化档案,通过分析设备收集的数据了解用户的兴趣,并为每个用户推荐他们感兴趣的广告。越来越多的应用程序正在使用uXDT技术在这项研究中,研究人员分析了来自VirusTotal服务的数百万Android应用程序,发现少数应用程序使用了名为Shopkick和Lisnr的超声波音频技术。许多其他应用程序使用SilverPushSDK,这是一种允许开发人员跨设备跟踪用户的SDK。SilverPush、Lisnr和Shopkick都是面向开发者的SDK,这三个SDK都使用超声波信标向移动设备发送信息。开发人员可以使用SilverPush跨多个设备跟踪用户信息,而Lisnr和Shopkick则用于用户的位置跟踪。研究人员分析了大量Android应用后发现,使用Lisnr和ShopkickSDK的厂商并不多,但使用SilverPushSDK的厂商却不少。该报告还提到,在研究人员访问的35家德国零售店中,有4家存在超声波信标。早在2015年,一项研究表明,样本中有6-7个APP使用了SilverPushSDK,该公司监测了约1800万部智能手机,但这个数字还在不断增加。在2016年的BlackHat黑客大会上,研究人员展示了uXDT技术,并指出该技术可以通过反匿名暴露Tor用户的真实信息。(例如,正常情况下,用户通过比特币进行交易时不会留下真实身份信息,但恶意网站可以追踪用户的真实身份,或者通过匿名网络泄露用户浏览网页的身份,如作为Tor洋葱网络。用户ID。)隐私安全将何去何从?虽然uXDT技术的应用还没有“误入歧途”,但它仍然引发了很多隐私方面的担忧——应用仅通过麦克风接收超声波就可以追踪活动,无需任何移动网络或无线网络。研究报告中提到:“SilverPush的存在实际上拉近了监视与合法追踪之间的距离。SilverPush与Lisnr使用相似的通信协议和信号处理方式,即使用户指示Lisnr进行地理位置追踪,SilverPush也不会公开使用该名称使用此跟踪功能的应用程序。”2014年斯诺登事件曝光后,泄露的文件提到美国情报机构如何获取外国旅客在不同城市之间的动向:机场会收集这些人使用的设备的MAC地址,以及咖啡店、餐厅和酒店的WiFi热点。全国各地的零售店也识别MAC地址,情报机构将两者进行比较。外媒认为,超声波技术甚至会对Kua设备追踪用户动作有更好的效果。如何保护自己?既然我们无法阻止超声波信号在身边传播,为了降低智能手机被监控的风险,最好的办法就是严格限制APP向设备发起的“请求”。换句话说,我们只需要在这里使用我们的常识。比如Skype要求“使用麦克风”,显然是非常合理的,因为在Skype中会用到这个功能。但是如果一个美妆或者服装类的app发送这个请求,会发生什么?作为用户,应该严格拒绝该请求。为了取消这些不必要的APP请求,一些安卓手机厂商,比如一加手机,为用户提供了一个叫做“隐私卫士”的功能,用户可以通过该功能禁止一些与APP基本功能无关的请求。.Android7和iOS10用户也可以通过设置进行此操作。【本文为《Kelix信息安全》栏目原创稿件,转载请联系原作者(微信ID:JW-assoc)】点此查看该作者更多好文
