Auf vielen Mobiltelefonen sitzen inzwischen Ultraschall-Baken (Beacons, Leuchtfeuer), ohne dass die Besitzer davon wissen. Die für die Werbeindustrie entwickelte einschlägige Lauschtechnik vom Anbieter Silverpush ist mittlerweile in wenigstens 243 Android-Apps versteckt, die auf Millionen von Smartphones in aller Welt installiert sind.
Sicherheitsforscher der TU Braunschweig haben das herausgefunden und vor Kurzem eine entsprechende Studie auf einer Datenschutzkonferenz in Paris präsentiert. Für die Untersuchung haben die Forscher mehr als 1,3 Millionen Apps nach Hinweisen auf die Silverpush-Ultraschall-Software durchsucht. Bei einem Test im April 2015 erst sechs Apps mit eingebauten Ultraschall-Baken.
Wie die Baken Ihre Identität verraten
Die Ultraschall-Baken kodieren eine kleine Datensequenz in eine sehr hohe, von Menschen nicht hörbare Ultraschall-Frequenz zwischen 18 und 20 kHz. Über gängige Lautsprecher von Computern oder Smart-TVs werden die unhörbaren Sounds ausgesandt und von Mikrofonen in Smartphones wieder eingefangen.
Für eine Werbekampagne, die diese Technik nutzt, erstellt der Anbieter ein uBeacon für seinen Kunden und schickt das dann an Medienpartner, damit die diesen Audiocode in ihre Inhalte einbetten. Wenn sich der Nutzer diese Inhalte dann im Fernsehen anschaut oder wenn er auf einer Internetseite darauf stößt, wird der Soundschnipsel über einige Meter Entfernung hin ausgesandt.
Das Smartphone des „Umworbenen“ nimmt das Ultraschall-Signal auf und sendet es mit Zusatzinformationen über den Nutzer in Form verschiedenster Kennungen und Metadaten versehen an den Provider zurück.
Der kann damit das zugehörige Profil des ungefragten Nutzers verfeinern und für diesen dann angepasste Werbung ausliefern. Mit dieser Technik lassen sich der Nutzer und sein Standort über verschiedene Geräte hinweg verfolgen und relativ einfach identifizieren.
Das Verfahren unterstützt auch das Location-Based-Marketing, bei dem beteiligte Händler potenzielle Käufer in der Nähe direkt beispielsweise mit Coupons oder Rabatten ködern und deren Verhalten im Laden verfolgen.
Bürgerrechtler haben schon vor der Silverpush-Software gewarnt, und Anti-Viren-Hersteller stufen sie als Malware ein. Das Entwickler-Kit wird weiterhin von San Francisco aus verbreitet.
Andere Ultraschall-Malware
Die Forscher haben bei ihrer Untersuchung außerdem vergleichbar funktionierende, auf den Handelsbereich ausgerichtete uBeacons von Anbietern wie Lisnr oder Shopkick gefunden, aber in deutlich weniger als die von Silverpush. Ultraschall-Signale von Shopkick konnten sie dabei in 4 von 35 untersuchten Geschäften in zwei europäischen Städten aufzeichnen.
Wesentlicher Unterschied zu Silverpush soll dabei sein, dass der Benutzer die einschlägige Anwendung selbst absichtlich starte, um sich damit dann Einkaufsvorteile wie Coupons oder Rabatte vor Ort zu verschaffen.
Weitere Untersuchungen dieser Technologie seien dringend nötig, weil zum Beispiel auch Angriffe auf Nutzer von Bitcoin oder des Anonymisierungsdiensts Tor denkbar seien. Andere Sicherheitsforscher hatten solche Angriffr schon skizziert.
