Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.734.489 Produkten

Stefan Krempl 578

Tracking: Forscher finden Ultraschall-Spyware in 234 Android-Apps

Tracking: Forscher finden Ultraschall-Spyware in 243 Android-Apps

Sicherheitsexperten der TU Braunschweig haben in über 200 Apps für Android Lauschsoftware von Silverpush entdeckt, mit der sich Nutzer über verschiedene Geräte hinweg verfolgen und recht einfach deanonymisieren lassen.

Immer mehr Mobiltelefonierer haben unwissentlich Ultraschall-Beacons auf ihren Smartphones. Allein die für die Werbeindustrie entwickelte einschlägige Lauschtechnik des Anbieters Silverpush ist mittlerweile in mindestens 234 Android-Apps versteckt, die auf Millionen von Handys weltweit installiert sind. Dies haben Sicherheitsforscher der TU Braunschweig herausgefunden, die ein entsprechendes Studienpapier jüngst auf einer Datenschutzkonferenz in Paris präsentierten. Die Wissenschaftler haben für die Untersuchung über 1,3 Millionen Mobilanwendungen nach Hinweisen auf die Silverpush-Software durchforstet.

Anzeige

Bei einem vergleichbaren Test im April 2015 fanden die Experten erst sechs Apps mit "uBeacons" des ursprünglich indischen Entwicklerteams, im Dezember desselben Jahres waren es 39. Die Anwendungen fürs Handy, mit denen die Silverpush-Technik Huckepack kommt, stamme teils von bekannten Konzernen wie McDonald's oder Krispy Kreme beziehungsweise deren Filialen in südostasiatischen Ländern. Die Apps seien teils bis zu fünf Millionen Mal heruntergeladen worden.

Mit dem "Ultraschall-Leuchtfeuer" wird eine kleine Datensequenz in eine sehr hohe, von Menschen nicht hörbare Frequenz im Bereich zwischen 18 und 20 kHz enkodiert, über gängige Lautsprecher von Computern oder Smart-TVs ausgesandt und von Mikrofonen in Smartphones eingefangen. Bei einer die Technik nutzenden Werbekampagne erstellt der Anbieter ein uBeacon für seinen Kunden und schickt dieses an Medienpartner, die den Audiocode in ihre Inhalte einbetten. Schaut der Nutzer sich diese im Fernsehen an oder stößt er auf einer Webseite darauf, wird der Soundschnipsel über einige Meter Entfernung hin ausgesandt.

Grafiken zeigen, wie eingebettete Ultraschallsignale die Privatsphäre verletzen oder Nutzer verraten könnten. (Bild: Studie, TU Braunschweig)

Das Mobiltelefon des Betroffenen nimmt das Beacon auf sendet es mit Zusatzinformationen über den Nutzer in Form verschiedenster Kennungen und Metadaten an den Provider zurück. Dieser kann damit das zugehörige Profil verfeinern und angepasste Werbung ausliefern. Gleichzeitig lässt sich der Nutzer und sein Standort über verschiedene Geräte hinweg verfolgen und vergleichsweise einfach identifizieren. Das Verfahren funktioniert auch beim Location-Based-Marketing, wo beteiligte Händler potenzielle Käufer in der Nähe direkt etwa mit Coupons und Rabatten ansprechen sowie ihr Verhalten im Laden verfolgen.

Bürgerrechtler haben bereits vor der Silverpush-Software gewarnt, Anti-Viren-Dienstleister sie als Malware eingestuft. Das Entwickler-Kit wird inzwischen von San Francisco aus weiter verbreitet. Die Forscher haben zudem vergleichbar funktionierende, auf den Handelsbereich ausgerichtete uBeacons von Anbietern wie Lisnr oder Shopkick ausfindig gemacht, aber in deutlich geringerer Anzahl. Ultraschall-Signale von Shopkick konnten sie etwa in vier von 35 untersuchten Läden in zwei europäischen Städten aufzeichnen. Der Unterschied zu Silverpush sei, dass der Nutzer die einschlägige Anwendung absichtlich starte, um sich etwa Einkaufsvorteile vor Ort zu verschaffen.

Die Forscher haben unter anderem ermittelt, welche Ultraschallsignale bei verschiedenen Mobilgeräten ankommen, wenn ein zwei Meter entferntes TV-Gerät sie abstraht. (Bild: Studie, TU Braunschweig)

Vorerst Entwarnung geben die Forscher, was den aktiven Einsatz der Schnüffeltechnik bei Fernsehwerbung angeht. Laut dem Papier haben sie TV-Streams übers Internet aus sieben verschiedenen Ländern einschließlich Deutschland, Großbritannien, Indien, den Philippinen und den USA viele Stunden lang aufgezeichnet und ausgewertet. Hinweise auf Signale von uBeacons konnten sie dabei aber nicht aufspüren. Dies könne aber auch daran liegen, dass die Streams speziell komprimiert, die Ultraschall-Zusätze dabei herausgenommen worden seien und diese nur in den direkten Rundfunkübertragungen erhalten blieben. Keine Treffer hätten sich auch bei Audio-Elementen vielbesuchter indischer und philippinischer Webseiten ergeben.

Anzeige

Die Wissenschaftler bezeichnen ihre vom Bundesforschungsministerium im Rahmen des Projekts Vamos geförderte Studie als einen ersten größeren Schritt, um Gefahren für die Privatsphäre durch "Ultraschall-Tracking" abzustecken. Weitere Untersuchungen in diesem Bereich seien dringend nötig, da etwa auch Angriffe auf Nutzer von Bitcoin oder des Anonymisierungsdiensts Tor möglich seien. Andere Sicherheitsforscher hatten entsprechende Attacken jüngst bereits skizziert.

(Ursprünglich war in der Meldung von 243 Apps die Rede. Wir bitten für den Zahlendreher um Entschuldigung.)

Lesen Sie dazu bei c't:

(Stefan Krempl) / (ps)

578 Kommentare

Themen:

Anzeige
  1. Google hat 2017 mehr als 700.000 bösartige Apps aus Google Play verbannt

    Google hat 2017 700.000 bösartige Apps aus Google Play verbannt

    In einem Jahresbericht führt Google aus, wie sicher der eigene Android-App-Store Google Play doch ist. Aufgrund einiger Vorfälle wirkt die Argumentation stellenweise jedoch nicht ganz glaubwürdig.

  2. Eine Million Android-Nutzer laden falschen WhatsApp-Messenger aus Google Play

    1 Millionen Android-Nutzer laden gefakten WhatsApp-Messenger aus Google Play

    Google hat nicht aufgepasst und Betrüger haben eine Fake-Version von WhatsApp in den offiziellen App Store gebracht. Bei dem Fake handelt es sich um eine Werbe-Spam-App.

  3. Google schmeißt 500 potenzielle Spionage-Apps aus App Store

    Google schmeißt 500 potenzielle Spionage-Apps aus App Store

    Ein Software Development Kit für Werbeeinblendungen soll Schnüffelfunktionen mitbringen. Damit ausgestattete Android-Apps weisen über 100 Millionen Downloads auf, warnen Sicherheitsforscher.

  4. Smartphone-Spiele belauschen Nutzer

    Smartphone-Spiele belauchen angeblich Nutzer

    Eine in Spiele-Apps integrierte Funktion spioniert über das Mikrofon des Smartphones Nutzer darüber aus, welche Werbespots und Sendungen sie im Fernsehen anschauen.

  1. Erpressungstrojaner und Mac-Malware: Schützen statt zahlen

    An der Tastatur

    Bislang konnten sich Mac-Nutzer relativ sicher fühlen. Inzwischen kursierte aber die erste Ransomware im Netz, die auch OS X infiziert. Sie verschlüsselt Daten und erpresst Lösegeld vom Anwender. Mac & i zeigt, wie Sie sich generell vor Malware schützen können und nennt die Hintergründe.

  2. Android Smart Lock: Stimmerkennung aktivieren

    Sie möchten Ihr Android-Smartphone per Spacherkennung entsperren? Wir erklären Ihnen, wie Sie die Smart Lock-Funktion einrichten.

  3. Spielt Shazam NSA?

    Auf Apple-Geräten lässt die Musikidentifikationssoftware das Mikrofon ständig laufen

  1. Fahrbericht: Lamborghini Urus

    Lamborghini

    Er verspricht mit immerhin 650 PS reichlich Fahrdynamik, muss dabei allerdings auch ein Leergewicht von 2,2 Tonnen durch die Gegend wuchten. Er braucht Reifen, mit denen man bis zu 305 km/h fahren kann und soll trotzdem auch im Gelände überzeugen. Kann der Lamborghini Urus diese Widersprüche auflösen?

  2. Erste Ausfahrt: Mercedes A 200

    Mercedes A-Klasse

    Die vierte A-Klasse ist ein hervorragendes Auto geworden, wie eine erste Ausfahrt zeigt. Eindrucksvoll ist der Vorsprung im Bereich Infotainment. Ein Modell für die breite Masse ist es aber nicht, denn Mercedes langt selbst für Kleinigkeiten heftig zu

  3. Kanadisches Gericht beharrt auf weltweiter Google-Zensur

    Canada Place

    Kanadische Gerichte verpflichten Google dazu, bestimmte Links aus dem Index zu löschen, und zwar weltweit. Die Verfügung widerspricht US-Recht, doch die kanadische Justiz bleibt hart.

  4. WhatsApp mit iOS 11.3: Exchange-Kontakte können fehlen

    WhatsApp

    Aufgrund einer Änderung in iOS 11.3 kann WhatsApp auf dem iPhone plötzlich nicht mehr auf Kontaktdaten zugreifen, die per Exchange synchronisiert werden. Auch andere Apps und MDM-Anbieter sind betroffen.

Anzeige