Sie sind hier:  IT News  »  Artikel

 
18.05.2017

Lauschangriff: Forscher finden Software in 234 Apps


Laut Forschern der TU Braunschweig ist in über 200 Android-Apps eine Ultraschall-Software von Silverpush integriert.




Viele Smartphone-Nutzer wissen nichts davon, dass ihr Smartphone längst mit einer Lauschsoftware infiziert ist. Die Ultraschall-Technik wurde von einem indischen Entwicklerteam ursprünglich für die Werbeindustrie entwickelt. Inzwischen ist sie jedoch in mindestens 234 Android-Apps versteckt, die weltweit auf Millionen Geräten verteilt sind. So können Nutzer über verschiedene Geräte verfolgt und schnell deanonymisiert werden.

Sicherheitsforscher der TU Braunschweig haben auf der Datenschutzkonferenz in Paris ihre Entdeckung vorgestellt: Nach der Untersuchung von 1,3 Mobilanwendungen auf die Silverpush-Software stellten sie fest, dass diese in mindestens 234 Apps zu finden ist. In einer ähnlichen Studie im April 2015 fanden sie nur sechs Apps mit sogenannten „uBeacons“, im Dezember desselben Jahres bereits 39.

Die Apps, die die Ultraschall-Software gleich mitbringen, stammten teilweise von riesigen Konzernen wie McDonalds oder Krispy Kreme und deren Filialen in südostasiatischen Ländern. Sie wurden bis zu fünf Millionen Mal heruntergeladen. Die Technik ist ausgefeilt: Computer oder Smart-TVs senden kaum hörbare Datensequenzen im Frequenzbereich zwischen 18 und 20 kHz, die dann über die Mikrofone von Smartphones eingefangen werden, das sind die uBeacons.

Werbekampagnen, die die Technik nutzen, besorgen sich uBeacons von entsprechenden Anbietern und bauen den Audiocode in ihre Inhalte ein. Wenn der Kunde den Werbespot im Fernsehen oder auf einer Webseite sieht, wird der Soundschnipsel wieder über mehrere Meter hinweg ausgesandt, das Smartphone nimmt ihn erneut auf und sendet ihn mitsamt Zusatzinfos wie Metadaten und anderer Kennungen an den Provider zurück.

So wird das Profil des Nutzers mit Daten gefüttert und noch angepasstere Werbung angezeigt. Der Nutzer und sein Standort können über mehrere Geräte hinweg verfolgt werden, so kann er auch recht schnell und einfach identifiziert werden. Auch das Location-Based-Marketing nutzt die Technik. Hier erhalten Nutzer Coupons und Rabatte von Händlern in der Nähe auf ihr Smartphone, ihr Kaufverhalten wird ebenfalls mitverfolgt.

Bürgerrechtlern ist die Silverpush-Software ein Dorn im Auge, Anbieter von Antivirenprogrammen stufen sie als Malware ein. Auch andere Anbieter wie Shopkick oder Lisnr verwenden uBEacons, allerdings nicht in vergleichbarem Ausmaß. Zumindest bezüglich der Fernsehwerbung geben die Forscher aber Entwarnung. Sie haben TV-Streams aus sieben verschiedenen Ländern einschließlich Deutschland über das Internet ausgewertet.

Bei der Untersuchung haben sie keine Hinweise auf uBeacon-Signale gefunden. Es könnte allerdings auch sein, dass die Streams speziell komprimiert und Ultraschall-Signale dabei herausgefiltert werden. Das hieße, die Signale wären nur direkt in den Rundfunkübertragungen auszumachen.

Mit ihrer Untersuchung wollen die Wissenschaftler, die vom Bundesforschungsministerium im Rahmen des Projekts Vamos gefördert werden, auf die Gefahren aufmerksam machen, die „Ultraschall-Tracking“ für die Privatsphäre darstellt. Sie weisen aber auch darauf hin, dass dringend weitere Untersuchungen nötig seien, um Angriffen auf Bitcoin-Nutzer und den Anonymisierungsdienst Tor vorzubeugen.






Quelle: https://www.heise.de/newsticker/meldung/Tracking-Forscher-finden-Ultraschall-Spyware-in-234-Android-Apps-3704642.html
Bild: © BlueSkyImage - shutterstock.com

Weitere Artikel

Kommentare

  • Keine Kommentare vorhanden

Artikel kommentieren