Темы безопасности поднимаются редко и особо нового ничего не повествуют. Скучно.
В конце 16-го начале 2017 года проходила четырехдневная конференция под названием 33rd Chaos Communication Congress (33C3). Из множества интересных и не очень докладов, меня привлекло выступление представителей компании Silverpush. Тема презентации «The Tor de-anonymization Attack»
Во время своего выступления, докладчик на макбуке через Tor браузер перешел по onion ссылке, и через некоторое время на экране уже красовались его реальный ip адрес, геоданные, номер его личного телефона, имей телефона, мак адрес, личный email. Скажу честно, я немного офигел от увиденного.
Для получения таких результатов используется так называемая технология Cross-device tracking. Изначально она была изобретена для получения дополнительной информации маркетологами для формирования целевой аудитории. Суть этой технологии в распространении и считывании близкого к ультразвуковому диапазону частот. Такие диапазоны используют в телевизионных рекламных роликах или в случаях, когда пользователь сталкивается с рекламой в интернете. Несмотря на то, что человеческое ухо не может услышать этот звук, его могут уловить находящиеся поблизости планшеты и смартфоны. Когда это происходит, файлы «cookie» браузера определяют несколько устройств пользователя и отслеживают, какие телевизионные ролики он смотрит, как долго это делает и реагирует ли на рекламу (поиск в интернете, покупка товаров). В течение дня люди используют как минимум пять устройств: телефон, компьютер, планшет, устройство, следящее за здоровьем и т.д. «Когда человек занят своими обычными делами, его активность на каждом устройстве и сервисе генерирует различные потоки данных, несущие информацию о предпочтениях и поведении. Cross-device tracking позволяет маркетологам объединить эти потоки, связав их с одной личностью, и увеличить уровень детализации информации об этом человеке».
Исследованиями в данной области занимаются компании SilverPush, Drawbridge и Flurry. В Adobe тоже разрабатывают технологию идентификации пользователя, но неизвестно, используют они неслышимые звуки или нет. Но наибольшее беспокойство вызывает вышеупомянутая компания SilverPush.
«По сравнению с технологией browser fingerprinting, использование аудиосигнала является более точным способом идентификации пользователя. Лидером в этой отрасли считается компания SilverPush. Когда пользователь сталкивается с рекламой от SilverPush в интернете, через динамики устройства воспроизводится «ультразвуковое», а рекламодатель оправляет файлы «cookies» на компьютер.
Другое смарт-устройство, с установленным комплектом программного обеспечения, получает и распознает неслышимый код. SilverPush также встраивает эти сигналы в телевизионные рекламные ролики, которые обрабатывает в фоновом режиме установленное на устройстве приложение (без ведома пользователя). Такие компании, как SilverPush, с помощью аудиосигнала узнают какую рекламу видел пользователь, как долго он ее смотрел, перед тем как переключить канал, каким смарт-устройством пользуется и другую информацию, пополняющую профиль каждого пользователя, связанного с этими устройствами.
Пользователь не подозревает о существовании аудиосигнала, но приложение с программным обеспечением SilverPush на смарт-устройстве может его обнаружить. Если программа распознает этот сигнал, то считается, что устройства принадлежат одному человеку. SilverPush утверждает, что компания не прослушивает все, что происходит в непосредственной близости от устройства. Единственным фактором, который препятствует получению сигнала, является расстояние.
Пользователь никак не может обезопасить себя от этой формы слежки. Политика компании SilverPush запрещает «разглашать названия приложений, в которые встроена эта технология» – это означает, что пользователи не знают, в каких приложениях используется эта технология, и не могут отказаться от нее. По состоянию на апрель 2015 года программное обеспечение SilverPush используется в 67 приложениях, а под наблюдением компании находятся 18 миллионов смартфонов».
О том, что SilverPush использует технологию «ультразвукового» отслеживания стало известно еще в июле 2014 года. Совсем недавно о компании вновь заговорили – она получила 1,25 млн долларов венчурных инвестиций.
Технологию cross-device tracking внедрили уже более десятка маркетинговых компаний. Как правило, эту технологию нельзя обнаружить и от нее нельзя отказаться – это позволяет маркетологам составить невероятно подробную характеристику человека.
«Например, компания может увидеть, что пользователь искал на своем компьютере симптомы определенных заболеваний, посмотрел маршрут и зашел в аптеку, а затем вернулся в свою квартиру. Хотя эта информация была получена от разных сервисов, технология cross-device tracking позволяет компаниям сделать вывод, что пользователь лечится от конкретных болезней.
Сбор информации со всех устройств – это не просто вмешательство в личную жизнь. Может получиться так, что на основе собранных данных компания сделает неправильные и, возможно, губительные предположения о людях», – заключили эксперты.
Использование близкого к ультразвуковому диапазона частот для сбора информации о пользователях имеет некоторое сходство с badBIOS. Она, по словам специалиста по информационной безопасности, использует неслышимые звуки, чтобы «связать» физически разделенные компьютеры. Существование badBIOS не доказано, но возможность использования высокочастотных звуков для отслеживания пользователей подчеркивает жизнеспособность этой концепции.
Сейчас эту технологию применяют SilverPush и другие компании, которые, вероятнее всего, будут использовать её и дальше (в той или иной форме). Обычные люди не могут узнать, следят за ними или нет, и никак не могут на это повлиять.
Жалоба
