Ultradźwięki w reklamach powiążą nasz TV, komputer i smartfon w jeden profil
Znów się mówi o ultradźwiękowej komunikacji, pozwalającejprzekazywać informacje pomiędzy komputerami w żaden sposób zesobą niespiętymi. To co do tej pory było jedynie niewyraźnągroźbą ze strony malware, najwyraźniej przekształciło się wpraktykę biznesową, o rzekomo znaczącej skuteczności. Działaczeamerykańskiego Center for Democracy and Technology (CDT) ostrzegająprzed reklamami, które mają wykorzystywać akustyczne sygnały, bypowiązać ze sobą sprzęt i przez to skuteczniej profilować iśledzić użytkowników w Sieci. Czy faktycznie mamy do czynienia zespiskiem reklamodawców, czy też ktoś po prostu przeczytał zbytwiele opowiadań Philipa K. Dicka?
Przyjrzyjmy się temu, co piszą sami zainteresowani w liścieskierowanym do amerykańskiej Federalnej Komisji Handlu. Otóżultradźwiękowe sygnały mają być osadzone w telewizyjnych iwebowych reklamach. Mimo że niesłyszalne dla ludzkiego ucha, mogązostać wychwycone przez pobliskie urządzenia mobilne, pozwalającpołączyć danego użytkownika z całym zestawem jego urządzeń,śledząc ile czasu poświęca on na oglądanie reklam i jak reagujena nie, np. przez wyszukiwanie informacji o produkcie czy odwiedzeniesklepu internetowego. Ma to być znacznie skuteczniejsze, niżdotychczas stosowane probabilistyczne parowanie, wykorzystującepodobieństwa wzorców surfowania w sieci – i włączać w towszystko telewizję.
Prace nad takimi systemami prowadzić mają firmy SilverPush,Drawbridge i Flurry, podobno też kwestią tą interesuje się Adobe.Największy niepokój budzi to, co już stworzył SilverPush. Zdaniemdziałaczy CDT, kiedy użytkownik napotka w Sieci reklamę nadawcykorzystającego z rozwiązań tej firmy, zrzuca mu ona ciasteczko doprzeglądarki, jednocześnie odtwarzając ultradźwiękowy sygnałprzez głośniki komputera. Sygnał ten jest przechwytywany irozpoznawany przez urządzenia mobilne przez działające na nichoprogramowanie, stworzone za pomocą narzędzi deweloperskichdostarczanych przez SilverPush. Mogą to być np. darmowe gry zesklepu Play.
Dzięki podsłuchowi niesłyszalnych sygnałów, sieć reklamowamoże dowiedzieć się, które reklamy użytkownik obejrzał, ileczasu oglądał reklamę w telewizji, z jakich urządzeń mobilnychkorzysta, a także inne dane, pozwalające na zbudowanie spójnegoprofilu użytkownika. Podobno narzędzia deweloperskie SilverBulletaużyte zostały przy budowie 67 aplikacji (których nazwy pozostajątajemnicą), w kwietniu 2015 roku w ten sposób firma monitorowała18 mln smartfonów. Nie ma żadnego sposobu, by się z tej siecireklamowej wypisać. Co gorsze, taki mechanizm śledzenia,pozwalający stworzyć zastraszająco precyzyjny profil użytkownika,jest dla typowego internauty nie do uniknięcia – nie tylko niemoże się z niego wypisać, ale też zwykle nic o tym nie wie, żejest tak śledzony.
Możliwość takiego ataku (bo trudno to nazwać inaczej, jaknaruszającym prywatność cyberatakiem) nie jest wyssana z palca.Dwa lata temu branża bezpieczeństwa ekscytowała się szkodnikiembadBIOS,który miał pozwalać na wzajemną komunikację między sobązarażonych maszyn właśnie za pomocą ultradźwięków. Niecopóźniej pojawiły się wyniki badań ekspertów InstytutuFraunhofera – udało im się zbudować siećakustyczną, w której laptopy komunikowały ultradźwiękowo naodległość nawet sześciu metrów, osiągając przepustowość napoziomie 20 bit/s. To wystarczyło na bardzo dużo
Zasugerowanym wówczas przez badaczy zabezpieczeniem dlalinuksowych maszyn było włączenie w systemie domyślniedolnoprzepustowego filtru stworzonego dla interfejsu LADSPA, któryodcinał wszystko powyżej 18 kHz, blokując ukrytą komunikację. Tooczywiście tylko ogólna wskazówka – typowy użytkownik Windowsczy Maka nie skonfiguruje sobie dziś filtra dolnoprzepustowego nawyjściu dźwięku.
Atak tego typu przede wszystkim zagraża użytkownikom lepszegosprzętu. Wytworzenie ultradźwięków przez zwykłe głośniki niejest takie proste – w grę wchodzi maksymalna częstotliwośćosiągalna przez układ DAC (i jego filtry), maksymalnaczęstotliwość, jaką zdolny jest przetworzyć wzmacniacz (i jegofiltry) oraz fizyczne możliwości przetwornika i otoczenia. Jeszczetrudniej jest odebrać taki dźwięk, większość zwykłychkondensatorowych mikrofonów obcina audio już od 15 kHz. Z drugiejjednak strony warto pamiętać, że sama definicja ultradźwiękówjest nieostra, w założeniu to po prostu niesłyszalne dla ludzkiegoucha dźwięki. Wielu ludzi jednak, szczególnie w starszym wieku, maproblemy z usłyszeniem nawet 10-12 kHz dźwięków.
Udało się nam trafić w Sieci na interesujący doktorat z 2011roku, poświęcony tej kwestii – pracęStephena P. Tarzii pt. *Acoustic Sensing of Location and UserPresence on Mobile Computers.Autor zakończył ją słowami: akustyczne wykrywanieodegra ważną rolę w naszej przyszłości. Mam szczerą nadzieję,że zainspiruje ona prace, o których nigdy nie marzyłem.*No cóż, najwyraźniej nadzieje p. Tarzii zostały spełnione.
