Oszilloskop

Spyware mit Ultraschall-Signal in vielen Google-Playstore-Apps

Apps aus dem Google Play Store werden durch Google auf schadhaften Code untersucht, bevor sie dort erhältlich sind. Möchte man Apps aus anderen Quellen auf seinem Androiden installieren, muss man die Option „Unbekannte Quellen: Installation von Apps von anderen Quellen als Play Store erlauben“ aktivieren.

Offensichtlich sind jedenfalls Apps aus dem Google-Playstore NICHT sicher und man sollte lieber KEINE Apps von dort beziehen. Stattdessen ist der Appstore F-Droid zu empfehlen. Dort gibt es nur Apps, die freie Software sind. Da der Quellcode der Apps zur Verfügung steht, ist es hier möglich (und wird auch umgesetzt!), dass aus Apps kritische Komponenten wie Werbung und Tracking entfernt werden, bevor sie im App-Store zur Verfügung gestellt werden. Sind sie noch enthalten, wird hier zumindest darauf hingewiesen, das solche Komponenten enthalten sind.

In einer Studie der TU Braunschweig wurde in über 200 Android Apps aus dem Google-Play Store das Abhörmodul Silverpush entdeckt. Mit dieser Komponente werden folgende Dinge ermöglicht:

  • Media Tracking
  • Cross-Device Tracking
  • Location Tracking
  • Deanonymisierung

Media Tracking

Ein Werbetreibender markiert digitale Werbung im Fernsehen oder Radio mit Ultraschallsignalen und verfolgt ihren Empfang durch das Smartphone des Nutzers. Das nicht hörbare Audio-Signal kann weitere Informationen wie Inhaltsidentifikation, die aktuelle Zeit oder die geografische Position des Senders enthalten. Als Ergebnis wird es möglich, durch das Smartphone die Medienkonsumgewohnheiten an einen individuellen Nutzer zu koppeln. Während bei der traditionellen Aussendung über terrestrische, satelliten- oder kabelgebundene Signale diese bisher anonym zum Empfänger (Nutzer) kamen, kann nun deren Medienkonsum überwacht werden. In Folge kann ein Werbetreibender exakt nachvollziehen, welche Inhalte (z.B. Pornofilme oder politische Dokumentationen) eine ganz bestimmte Person konsumiert – sogar an völlig verschiedenen Orten. Der Werbetreibende kann schlussfolgern was und wie lange eine bestimmte Person Medien konsumiert und ein detailliertes Nutzerprofil erstellen um dann exakt angepasste Werbung ausliefern zu können.

Cross-Device Tracking

Ultraschallsignale können auch dazu verwendet werden, herauszufinden, welche mobilen Geräte zur selben Person gehören. Wenn das selbe Signal wiederholt von verschiedenen Geräten empfangen wird, dann kann man davon ausgehen, das die Geräte der selben Person gehören. Folgerichtig, kann ein Werbetreibender das Nutzerverhalten verfolgen und erhält detaillierte Nutzer-Gewohnheiten. Durch die Kombination verschiedener Informationsquellen erhält der Werbetreibende die Möglichkeit exakt zugeschnittene Werbung auszuliefern. Zusätzlich kann der Werbetreibende private und geschäftliche Geräte eines Nutzers einander zuordnen, wenn diese Geräte das gleiche Ultraschallsignal empfangen und dadurch einen potenziellen Infektionsweg für zielgerichtete Angriffe bereitstellen.

Location Tracking

Ein Ultraschallsignal ermöglicht es einem Werbetreibenden, die Bewegungen eines Nutzers innerhalb eines Gebäudes zu verfolgen, ohne GPS zu verwenden. Ein Ort, zum Beispiel eine Drogerie, sendet ein Ultraschallsignal mit einem Orts-Identifikator. Diese Information enthüllt, wo und wann ein individueller Nutzer sich üblicherweise aufhält. Darüber hinaus kann der Werbetreibende erkennen, wann und wo sich Personen treffen oder nahe beieinander sind.

Deanonymisierung

Ultraschallsignale können auch zur De-Pseudonomisierung von Bitcoin und zur Deanonymisierung von Tor-Nutzern verwendet werden. Zum Beispiel kann ein verseuchter Webservice die Beziehung zwischen einer Bitcoin-Adresse und einer realen Identität aufdecken. Immer wenn der Webservice eine generierte eindeutige Adresse anzeigt, an die der Nutzer die Bitcoins zu senden hat, sendet dieser Webservice gleichzeitig ein Ultraschallsignal an das Smartphone des Nutzers. Im Gegenzug ermöglicht das das Verlinken der Bitcoin-Adresse zu diesem Smartphone. Ein ähnliches Angriffs-Szenario wurde unlängst auch gegen Tor-Nutzer aufgezeigt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.