Ultraschall-Tracking verwendet Schallwellen, die von Gerätemikrofonen erfasst werden, um Daten zu erfassen, den Standort eines Benutzers zu bestimmen und vieles mehr. Die Methodik verwendet Geräusche, die von Menschen nicht gehört werden können, kann aber von verschiedenen Geräten wie Smartphones und Tablets erkannt werden. Diese Nachverfolgung kann für eine Vielzahl von Zwecken verwendet werden, z. B. zum Sammeln von Informationen zu einzelnen Nutzern auf verschiedenen Geräten und zum Ermitteln Ihres genauen Standorts für die Schaltung zielgerichteter Anzeigen.
Diese Technologie kann beispielsweise für Benutzer nützlich sein, indem sie Ihnen im Lebensmittelgeschäft Echtzeit-Deals anbietet, hat aber auch Nachteile. Apps, die auf das Mikrofon Ihres Geräts zugreifen, haben offensichtliche Datenschutzbedenken, insbesondere wenn sie dies ohne ausdrückliche Genehmigung tun. Datenschutzbegeisterte sind auch besorgt über das Fehlen eines universellen Standards in der Branche Anfälligkeit der Technologie für Hacking-Versuche.
In diesem Beitrag erklären wir genau, was Ultraschall-Tracking ist, wie es funktioniert und wofür es verwendet wird. Wir werden auch die Auswirkungen der Ultraschallverfolgung auf den Datenschutz und die Sicherheit sowie die Schritte erläutern, die Sie zum Blockieren der Ultraschallverfolgung unternehmen können.
Was ist Ultraschallverfolgung??
Ultraschallwellen sind solche mit einer Frequenz, die zu hoch ist (im Allgemeinen über 18 kHz), um für das menschliche Ohr hörbar zu sein. Zum Beispiel macht eine Hundepfeife Ultraschallgeräusche – der Hund kann es hören, obwohl Sie es nicht können.
In den letzten Jahren haben Entwickler Anwendungen für diese Sounds bei der Verfolgung mobiler Geräte gefunden. Die Töne werden mit Daten codiert, um Beacons zu erstellen, die von jedem Lautsprechertyp und übertragen werden können von einem Abhörgerät aufgenommen.
Die Beacons können in Alltagsgeräusche wie den Ton eines Fernsehers oder einer Webwerbung eingebettet werden. Sie können sogar mit der Musik verschachtelt werden, die Sie in Geschäften und Aufzügen hören, oder sie können ohne Hintergrundgeräusche ausgestrahlt werden.
Indem Sie das Mikrofon Ihres Geräts verwenden, um auf die Beacons zu hören, können Telefonhersteller und App-Entwickler sie für eine Reihe von Anwendungen einsetzen. Einige allgemeine Anwendungen für diese Technologie sind:
- Erstellen von Benutzerprofilen: Durch das Erkennen von Beacons, die in Webseiten, Werbung und sogar physischen Markern eingebettet sind, können Werbetreibende online und offline ein Profil Ihrer Aktivitäten erstellen. Sie können Sie über Geräte hinweg verfolgen und sogar Verbindungen zwischen Ihnen und anderen Personen herstellen. Wenn Ihr Telefon beispielsweise ein Signal vom Smart-TV Ihres Freundes empfängt, werden Sie mit dieser Person verbunden.
- Gerätepaarung: Ultraschall-Beacons können Verbindungen zwischen Geräten herstellen, beispielsweise zwischen einem Telefon und einem Chromecast-Gerät.
- Näherungserkennung: Die Technologie kann Ihren genauen Standort ermitteln, z. B. in einem Geschäft. Dies kann für selbst geführte Museumsführungen oder zum Erhalten von Sonderangeboten verwendet werden, wenn Sie einen bestimmten Abschnitt eines Geschäfts durchlaufen.
- Datenübertragung: Die Ultraschallverfolgung ist nicht auf WLAN oder andere Konnektivität angewiesen, sodass sie in Fällen, in denen keine Verbindungen verfügbar sind, eine breite Palette potenzieller Verwendungsmöglichkeiten haben kann.
Während einige dieser Anwendungsfälle den Kunden zugute kommen, tragen andere das Risiko einer Verletzung der Privatsphäre.
Datenschutzbedenken bei der Ultraschallverfolgung
Das Konzept Ihres Geräts, mit dem Sie Töne verfolgen, kann, gelinde gesagt, nervenaufreibend sein. Apps müssen Ton aufzeichnen, um die Ultraschallbaken zu erkennen. Daher besteht die Gefahr, dass auch andere Töne (z. B. Gespräche) aufgezeichnet werden.
Glücklicherweise ist für den Zugriff auf das Mikrofon Ihres Geräts eine ausdrückliche Genehmigung erforderlich, die normalerweise bei der erstmaligen Installation der betreffenden App angefordert wird. Leider sind viele Smartphone- und andere Gerätebenutzer zu vertrauenswürdig und häufig Berechtigungen erteilen von neu installierten Apps angefordert, ohne sich Gedanken zu machen.
Da die Apps nur Ultraschallgeräusche benötigen, können sie die hörbaren Teile von Aufzeichnungen herausfiltern, um Datenschutzbedenken zu minimieren. Um die Privatsphäre der Benutzer zu schützen, sollten theoretisch alle Apps, die Ultraschall verwenden, dies tun. Natürlich ist es schwierig zu bestätigen, ob sie aus Gründen der Privatsphäre des Benutzers Audio-Filter praktizieren oder nicht. Und selbst wenn sie gefiltert werden, muss abhängig vom verwendeten Filtertyp möglicherweise das gesamte Audio (einschließlich hörbarer Töne) gespeichert werden, wenn auch nur vorübergehend.
Diese Aktivität ist in einigen Teilen der Welt illegal. In Australien ist es beispielsweise gesetzeswidrig, „ein privates Gespräch zu belauschen, aufzuzeichnen, zu überwachen oder anzuhören“, ohne die ausdrückliche Zustimmung aller Parteien. Es besteht jedoch kein Zweifel, dass die Logistik der Überwachung solcher Gesetze schwierig sein würde.
Wohin steuert die Branche in Bezug auf den Datenschutz? Hier sind drei bemerkenswerte Meilensteine, die dazu beigetragen haben, die Richtung zu bestimmen:
- März 2016: Die Warnungen der Federal Trade Commission (FTC) wurden an Werbetreibende ausgegeben, die die SilverPush-Ultraschall-Tracking-Technologie verwenden.
- Oktober 2016: Eine Studie ergab, dass Ultraschall-Tracking verwendet werden könnte, um die Privatsphäre des Tor-Browsers außer Kraft zu setzen.
- Mai 2023: Eine deutsche Studie ergab, dass Hunderte von Android-Apps Ultraschall-Tracking-Technologie verwenden, wobei vielen klare Datenschutzrichtlinien fehlen.
Schauen wir uns jedes dieser Ereignisse genauer an.
1. SilverPush FTC-Warnungen
Als das Ultraschall-Tracking im Jahr 2016 an Bedeutung gewann, war SilverPush, ein Anbieter von geräteübergreifender Tracking-Software, eines der führenden Unternehmen im Trend. SilverPush ist in 12 Ländern tätig und kann auf eine beeindruckende Kundenliste verweisen, darunter Coca Cola, Unilever, KFC und Levi’s.
Das Unternehmen entwickelte seine Tracking-Technologie im Jahr 2014 und schien in den folgenden Jahren Marktanteile zu gewinnen. Eine Version ihrer Software verwendete Smartphonemikrofone, um auf im Audio von Fernsehwerbung eingebettete Beacons zu lauschen. Die Protokolle der angezeigten TV-Inhalte könnten dann für Analysen und gezielte Werbung verwendet werden.
Im März 2016 sandte die FTC Warnbriefe an die Entwickler von 12 Telefon-Apps, in die SilverPush-Ultraschallempfänger integriert waren. Ein Absatz in diesem Brief lautete:
Der Code ist beispielsweise so konfiguriert, dass er auf das Mikrofon des Geräts zugreift, um Audioinformationen zu sammeln auch wenn die Anwendung nicht verwendet wird. Darüber hinaus erfordert Ihre Anwendung die Erlaubnis, vor der Installation auf das Mikrofon des Mobilgeräts zuzugreifen, obwohl in der Anwendung keine offensichtlichen Funktionen vorhanden sind, die einen solchen Zugriff erfordern würden.
Laut der Website von SilverPush wird in seinen Kampagnen kein Ultraschall-Tracking mehr verwendet:
Wir hatten früher ein Produkt, aber die Anzeigenerkennung unseres Produkts funktioniert mit keiner unhörbaren Frequenz- oder Beacon-Technologie für Smartphones […]
Es ist unklar, ob die Entwickler der beleidigenden Apps ihre Apps geändert oder sie einfach vom Markt genommen haben. Die Ausgabe von Briefen durch die FTC erregte jedoch viel Aufmerksamkeit in den Medien und stellte die SilverPush- und Ultraschall-Tracking-Technologie in den Vordergrund.
2. Ultraschall-Tracking, das die Privatsphäre von Tor außer Kraft setzt
Eine Entdeckung war, dass Ultraschall-Tracking sogar die Internet-Aktivitäten von Personen aufdecken kann, die Maßnahmen ergreifen, um ihre Online-Identität zu verbergen. Die Verwendung von Ultraschall-Tracking wurde als Methode zur Identifizierung von Benutzern des Tor-Netzwerks erwiesen.
Dieser Hack wurde von Forschern des University College London und der University of California in Santa Barbara im Oktober 2016 entdeckt und demonstriert.
Dieselbe Studie ergab, dass die geräteübergreifende Ultraschallverfolgung verwendet werden kann, um gefälschte Audio-Beacons zu injizieren und die privaten Informationen der Benutzer zu verlieren.
Eines der Hauptanliegen dieser Forscher war die willkürliche Art und Weise, in der Ultraschalltechnologie eingesetzt wird.
Nach Giovanni Vigna, Professor an der University of California in Santa Barbara (UCSB):
[…] Das vollständige Deaktivieren des Ultraschalls führt zu Verwirrung und fehlerhaften Implementierungen, da sie ad hoc sind. Es gibt Risiken, die sich ohne Standardisierung nur verschlimmern werden.
Sie schlagen vor, dass Betriebssysteme eine Standardmethode beinhalten könnten, die dazu dient, den Datenschutz und die Sicherheit der Ultraschallverfolgung zu verbessern. Ein solcher Standard muss jedoch noch verabschiedet werden.
3. Deutsche Android App Studie
Ein im Mai 2023 veröffentlichter Bericht der Technischen Universität Braunschweig [PDF] enthüllte die Entdeckung von 234 Android-Apps mit Ultraschallrezeptoren. Nicht alle dieser Apps waren partizipativ und die Besitzer von Hosting-Geräten wussten möglicherweise nicht, dass ihre Telefone ihre Aktivitäten verfolgten.
Im Anschluss an diese Studie versicherte Google den Nutzern, dass verletzende Apps aus dem Store entfernt wurden, oder dass die Entwickler ihre Datenschutzrichtlinien entsprechend aktualisiert haben.
Google schreibt nun vor, dass Entwickler dies ausdrücklich in ihren Datenschutzrichtlinien angeben müssen Wann werden Ultraschallbaken eingesetzt und wozu dienen sie?. Strengere Richtlinien haben Entwickler, die diese Technologie einsetzen, wahrscheinlich davon abgehalten. Es ist daher nicht verwunderlich, dass die Verwendung von Ultraschall-Tracking in der Werbung seitdem zumindest in der Öffentlichkeit in Ungnade gefallen ist.
Sind Ultraschallsignale sicher??
Abgesehen von Datenschutzbedenken gibt es Probleme im Zusammenhang mit der Sicherheit der Ultraschallverfolgung.
Das Senden und Empfangen von Beacons muss fast augenblicklich erfolgen, damit die Technologie effektiv ist. Dies lässt sehr wenig Zeit für die Authentifizierung und Verschlüsselung. Die schnelle Abwicklung bedeutet, dass viele Interaktionen ohne Identitätsauthentifizierung ausgeführt werden und die Daten unverschlüsselt weitergeleitet werden.
Dies Lässt die Tür offen für Hacker Wer kann die Kommunikation manipulieren? Ein reales Beispiel für einen Ultraschall-Tracking-Angriff bestand darin, dass ein Beacon wiederholt gespielt wurde, um Daten zu verzerren. Andere Missbräuche könnten das Abfangen von Bankkontodaten über Instore-Signalisierungssysteme, das Fälschen von Ticketcodes, den Diebstahl von Guthaben und Geschenkkarten und die Übermittlung falscher Daten umfassen.
2023 entwickelten Forscher der Zhejiang-Universität in China DolphinAttack [PDF]. Dies war eine Methode, um über sprachaktivierte virtuelle Assistenten wie Siri, Alexa und Google Assistant auf Smart Appliances und andere IoT-Geräte zuzugreifen.
Die Forscher konnten von Menschen nicht hörbare Sprachbefehle an Amazon Echo und iPhones senden. Diese Geräte bieten Zugriff auf Webbrowser auf anderen mit dem Internet verbundenen Geräten, sodass Angreifer infizierte Websites öffnen können.
Eine solche Strategie könnte verwendet werden, um dateifreie Malware wie Tracking-Systeme, Klickgeneratoren, Spyware, Botnet-Controller und Keylogger einzuführen. Es könnte auch verwendet werden, um Geräte wie Haushaltsassistenten und vielleicht sogar Sicherheitssysteme zu steuern.
Wer nutzt Ultraschall-Tracking?
Bei so vielen Datenschutz- und Sicherheitsrisiken wurde die Technologie nicht so allgemein eingesetzt, wie ursprünglich erwartet. Es gibt jedoch immer noch viele Unternehmen, die Ultraschallverfolgung in irgendeiner Form einsetzen. Hier einige Beispiele:
Shopkick
Shopkick spürt Kunden auf, wenn sie durch Geschäfte gehen, und bietet Prämiengeschenkpunkte. Punkte werden automatisch in der Telefon-App gesammelt, wenn sie an Beacons vorbeikommt.
Lisnr
Lisnr ist auf Ticketing und Zahlungsverkehr spezialisiert. Wie bei Shopkick erfordert diese App die Teilnahme der Kunden und ist kein verdecktes Tracking-System.
Google in der Nähe
Google Nearby ist eine nützliche Funktion, mit der Sie mit Geräten in der Nähe kommunizieren können. Es basiert auf einer Kombination aus Ultraschallsignalisierung, Bluetooth und WLAN, um die Nähe herzustellen.
Fanpictor
Fanpictor erstellt eine Anwendung für die Einbeziehung des Publikums bei Shows und Sportveranstaltungen. Hierbei werden die Telefone der Zuschauer mithilfe von Ultraschallsignalen koordiniert und eine Lichtshow erstellt, wie im folgenden Video gezeigt.
Amazon Dash-Schaltflächen
Obwohl die physische Version dieses Produkts eingestellt wurde, werden einige vorhandene Einheiten noch verwendet. Mit Amazon Dash Buttons können Sie auf Knopfdruck gängige Haushaltsgegenstände neu anordnen und mithilfe von Ultraschallsignalen mit Ihrem Gerät kommunizieren.
So blockieren Sie die Ultraschallverfolgung
Ihr Hauptverteidigungssystem gegen Ultraschall-Tracking ist Wachsamkeit. Obwohl jedes computergestützte Gerät mit einem Mikrofon gefährdet ist, ist das Hauptziel für diese Systeme das Smartphone, und der Zugriff wird durch Hör-Apps erleichtert. Hier sind einige Tipps zur Vermeidung von Ultraschall-Tracking.
1. Gewähren Sie keinen Zugriff auf Ihr Mikrofon
Während Sie es möglicherweise eilig haben, eine App zu verwenden, ist es immer wichtig, vor dem Erteilen von Berechtigungen zu überlegen, insbesondere bei Dingen wie Mikrofon und Kamera. Beachten Sie, dass einige Apps möglicherweise nicht funktionieren, wenn Sie nicht alle Berechtigungen erteilen. Daher müssen Sie möglicherweise entscheiden, wie wichtig der Betrieb dieser App für Sie ist.
Neben diesen Hinweisen für zukünftige Installationen möchten Sie möglicherweise auch Ihre vorhandenen App-Berechtigungen überprüfen. Weitere Informationen finden Sie in unseren Handbüchern zum Sichern von Berechtigungen für Android- und iOS-Apps.
2. Lesen Sie die Datenschutzrichtlinien sorgfältig durch
Seien wir ehrlich, wir alle hassen es, Datenschutzrichtlinien zu lesen. Tatsache ist jedoch, dass sie viele wichtige Informationen enthalten. Überprüfen Sie, ob erwähnt wird, dass Sie das Mikrofon Ihres Telefons verwenden und für welchen Zweck es verwendet werden darf. Seien Sie besonders vorsichtig bei Richtlinien, in denen das Mikrofon oder die Audiodaten erwähnt werden macht für diese App keinen Sinn.
Beachten Sie, dass App-Entwickler in ihren Richtlinien häufig eine andere Sprache verwenden, damit es schwieriger ist, verdächtige Praktiken zu erkennen. Beispielsweise könnten “unhörbare Geräusche” anstelle von “Ultraschallverfolgung” verwendet werden.
Beachten Sie auch, dass die Überprüfungsprozesse im App Store nicht immer auf Verstöße gegen Richtlinien stoßen. Daher kann eine störende App (die die Verwendung von Ultraschall in ihren Richtlinien nicht offenbart) unbemerkt bleiben. In diesem Fall ist es noch wichtiger, herauszufinden, welche Berechtigungen angefordert werden.
3. Achten Sie auf mögliche Patches oder Erweiterungen
In der Vergangenheit haben Entwickler verschiedene Tools entwickelt, mit denen Benutzer Ultraschall-Tracking vermeiden können. Beispielsweise fungiert die 2023 veröffentlichte SilverDog Chrome-Erweiterung als Audio-Firewall zum Blockieren von Ultraschall-Beacons. Und PilferShush ist eine Android-App, die auf ultrahohe Frequenzen wartet, um Sie zu warnen, wenn eine App sie möglicherweise verwendet.
Die Entwicklung dieser Art von Apps war jedoch umso bedeutender, als es um SilverPush und die deutsche Android-App-Studie mehr Hype gab. Seitdem scheinen sich die Dinge verlangsamt zu haben, und wir sehen keine Apps oder Erweiterungen, die für den Massenmarkt entwickelt wurden. Sollte sich jedoch die Akzeptanz der Ultraschalltechnologie erhöhen, wird die Entwicklung der App zweifellos folgen.
Ultrasound tracking uses sound waves that are detected by device microphones to collect data, determine the location of a user, and much more. The methodology uses sounds that cannot be heard by humans, but can be detected by various devices such as smartphones and tablets. This tracking can be used for a variety of purposes, such as collecting information on individual users across different devices and determining your exact location for targeted advertising. This technology can be useful for users, for example by offering real-time deals in the grocery store, but it also has disadvantages. Apps that access your devices microphone have obvious privacy concerns, especially if they do so without explicit permission. Privacy enthusiasts are also concerned about the lack of a universal standard in the industry and the vulnerability of the technology to hacking attempts. In this post, we explain exactly what ultrasound tracking is, how it works, and what it is used for. We will also explain the impact of ultrasound tracking on privacy and security, as well as the steps you can take to block ultrasound tracking.
Ultrasound waves are those with a frequency that is too high (generally above 18 kHz) to be audible to the human ear. For example, a dog whistle makes ultrasound sounds – the dog can hear it even though you cant. In recent years, developers have found applications for these sounds in tracking mobile devices. The sounds are encoded with data to create beacons that can be transmitted by any type of speaker and picked up by a listening device. The beacons can be embedded in everyday sounds like the sound of a TV or web advertisement. They can even be nested in the music you hear in stores and elevators, or they can be broadcast without background noise. By using your devices microphone to listen for the beacons, phone manufacturers and app developers can use them for a variety of applications.
Some common applications for this technology are:
– Creating user profiles: By detecting beacons embedded in web pages, advertising, and even physical markers, advertisers can create a profile of your activities online and offline. They can track you across devices and even make connections between you and other people. For example, if your phone receives a signal from your friends smart TV, you will be connected to that person.
– Device pairing: Ultrasound beacons can establish connections between devices, such as between a phone and a Chromecast device.
– Proximity detection: The technology can determine your exact location, such as in a store. This can be used for self-guided