研究人員在上周的IEEE歐洲議會上表示，他們在近期的一項研究中發(fā)現(xiàn)了234種安卓應用會向用戶發(fā)出“允許使用麥克風”的請求，以此通過超聲波信號追蹤用戶信息。基于超聲波跨設備追蹤技術(Ultrasonic Cross-Device Tracking，uXDT)是許多市場和廣告公司的“寵兒”。

超聲波音頻信標可以植入電視廣告或網(wǎng)頁廣告，而裝有接收器的移動APP則可以收集這些信標。由此，廣告商可以通過此項技術跨設備追蹤用戶信息，創(chuàng)建用戶的個性化檔案，通過分析設備收集的數(shù)據(jù)了解用戶的興趣所在，從而為每位用戶推薦他們感興趣的廣告。

越來越多的APP開始使用uXDT技術

在這項研究中，研究人員針對VirusTotal服務的數(shù)百萬Android應用進行了分析，他們發(fā)現(xiàn)一小部分應用采用名為Shopkick和Lisnr的超聲波音頻技術。還有不少應用則采用了SilverPush SDK，這是個可讓開發(fā)者對用戶進行跨設備追蹤的SDK。SilverPush、Lisnr和Shopkick都是為開發(fā)者準備的SDK，這三款SDK都采用超聲波信標給移動設備發(fā)送信息。

開發(fā)者可以通過SilverPush跨多個設備追蹤用戶信息，而 Lisnr 和Shopkick 則用于對用戶進行位置追蹤。研究人員在分析了大量Android應用之后發(fā)現(xiàn)，使用 Lisnr和Shopkick SDK的廠商并不多，但是使用SilverPush SDK的卻大有人在。這份報告還提到，在研究人員走訪的35家德國零售商店中，就有4家店內(nèi)存在超聲波信標。

早在2015年，就有一份研究顯示，樣本中有6-7個APP使用了SilverPush SDK，該企業(yè)由此監(jiān)視了大約1800萬臺智能手機，但這一數(shù)量正在不斷上升。

在2016年的BlackHat黑客大會上就有研究人員對uXDT技術進行了展示，并指出這種技術可以通過反匿名暴露Tor用戶的真實信息。(例如，在正常情況下，用戶通過比特幣進行交易不會留下真實的身份信息，但一家惡意網(wǎng)站可以追蹤出用戶的真實身份，或揭露出通過匿名網(wǎng)絡，如Tor洋蔥網(wǎng)絡，瀏覽網(wǎng)頁的用戶身份。)

隱私安全將何去何從?

雖然uXDT技術的應用目前尚未“誤入歧途”，但它仍然引發(fā)了許多對隱私的擔憂——app只需通過麥克風接收超聲波就可進行追蹤活動，而無需任何移動網(wǎng)絡或無線網(wǎng)絡。該研究報告提到：

“SilverPush的存在實際上縮小了監(jiān)控和合法追蹤之間的距離。SilverPush和Lisnr采用相似的通訊協(xié)議和信號處理方式。即便用戶指導Lisnr會進行地理位置追蹤，SilverPush也不會公開采用這種追蹤功能的應用名稱。”

2014年斯諾登事件曝光后，泄露文檔提到美國情報機構如何獲取國外旅客在不同城市間的動向：機場會收集這些人所用設備的MAC地址，而全國各地咖啡廳、餐廳和零售店的WiFi熱點也會進行MAC地址識別，情報機構再對兩者進行比對。國外媒體認為，超聲波技術對于夸設備追蹤用戶動向甚至會有更好的效果。

如何進行自我保護?

既然我們無法阻止超聲波信號在自己周圍傳輸，那么為了減少智能手機被監(jiān)聽的風險，***的方法就是嚴格限制通過APP對設備發(fā)起的“請求”。

換而言之，這里我們只需運用自己的常識。例如，如果Skype請求“使用麥克風”，顯然十分合理的，因為在Skype中將用到這一功能。但倘若美妝或服飾APP發(fā)送這一請求，結(jié)果又將如何?作為用戶，應該嚴格拒絕請求。

為了取消這些不需要的APP請求，一些Android手機廠商，例如一加為用戶提供了一種叫做“隱私指南”(Privacy Guard)的功能，用戶可以通過這一功能禁止一些與APP基本功能無關的請求。 Android 7和iOS 10用戶同樣可以通過設置實現(xiàn)這一操作。

【本文為51CTO專欄“柯力士信息安全”原創(chuàng)稿件，轉(zhuǎn)載請聯(lián)系原作者(微信號：JW-assoc)】

戳這里，看該作者更多好文