Наверное, многие сталкивались с ситуацией, когда вы ищете в сети подходящую модель кроссовок, закрываете браузер и со спокойной душой уходите на работу или гулять. А затем, по возвращению, вы открываете браузер, где видите контекстную рекламу с кроссовками. И всю неделю или даже месяц рекламные баннеры демонстрируют вам только спортивную обувь или одежду. Об этом много раз писали, так что повторяться нет смысла. К такому поведению контекстной рекламы привыкли многие пользователи.
Но рекламные технологии развиваются, и вскоре может возникнуть ситуация, когда пользователь ищет что-то на одном устройстве, а затем навязчивая реклама будет преследовать пользователя на всех его девайсах. Как такое возможно? Благодаря ультразвуковой технологии, о которой на днях рассказал Василиос Мавродиус (Vasilios Mavroudis) из Университетского колледжа Лондона. Кроме рекламы, метод может использоваться и для подслушивания разговоров пользователей. Мавродиус с коллегами выступил с докладом о потенциальной опасности ультразвуковых технологий в сети на конференции Black Hat.
Интересно, что ультразвук уже довольно давно используется маркетологами и рекламщиками для идентификации и отслеживания пользователей, которые заинтересовались рекламными материалами. Ультразвук здесь работает в качестве «мультиплатформенных кукисов». Аудиофайлы встроены в некоторые рекламные материалы на ТВ или в рекламные материалы в сети. Эти звуки, неслышимые ухом человека, фиксируются микрофонами практически всех устройств. Ультразвук может использоваться в качестве триггера для запуска какой-либо функции на гаджете пользователя.
В качестве примера можно привести технологию SilverPush индийской компании, которая может определить ультразвук, встроенный в ТВ-рекламу или браузерную рекламу. Приложение с кодом SilverPush без проблем перехватывает сообщения со встроенного микрофона на смартфоне или планшете, и отправляет на серверы компании IMEI, местоположение пользователя, версию его ОС и данные самого владельца. Как это работает? Относительно просто. Например, телезритель просматривает телевизионное шоу. На экране телевизора появляется реклама со встроенным ультразвуковым сообщением SilverPush. Сообщение получает приложение на смартфоне, и данные о пользователе уходят в сеть, на сервера рекламодателя. На дисплее телефона в это время вполне может демонстрироваться реклама, включая ссылки или веб-страницу. Индийцы разработали собственный SDK, помогающий без проблем встроить технологию в любое свое приложение.
Мавродиус утверждает, что у описанной технологии гораздо более обширная сфера применения. Некоторые приложения, включая Shopkick, используют ультразвук для того, чтобы показывать пользователям мобильных устройств рекламу и промо-материалы в то время, как пользователь что-то покупает. Такое приложение помогает в некоторых случаях получить скидку.
«Здесь не нужен никакой специальный метод. Если вы в супермаркете, хватает обычных динамиков», — говорит Мавродиус.
Кто может подслушивать?
Ультразвуковая технология, используемая маркетологами и рекламщиками, может использоваться и злоумышленниками, цели которых далеки от намерения помочь пользователю купить что-то нужное. Уже сейчас разработчики некоторых приложений добавляют в свой софт ультразвуковые вставки, помогающие собирать данные о пользователе даже тогда, когда само приложение выключено. Федеральная торговая комиссия США (FTC) наказала 12 разработчиков таких программ, следивших за пользователем без каких-либо уведомлений. Комиссия наказала лишь разработчиков, приложения которых удалось проанализировать. Сколько на самом деле таких мобильных программ в маркетах — неизвестно. Предупреждение получала и компания SilverPush.
Пресс-секретарь FTC заявил, кто регулятор продолжает следить за ситуацией, и будет строго наказывать всех, кто использует ультразвук для слежки за пользователями приложений. И это только одна из проблем, описанных Мавродиусом и его коллегами, причем не самая опасная.
Беспокоиться стоит в отношении программ, которые могут использовать ультразвук для подслушивания всех разговоров пользователя, находящегося в радиусе действия микрофонов своих устройств (в доме, офисе или на улице). Теоретически вполне возможно создать ультразвуковую метку (как в магазинах), отправляющую на телефон пользователя вредоносное сообщение.
Уязвимость и технология, которые описываются выше, пока что не слишком распространены. Но простота использования ультразвуковых технологий привлекает многих разработчиков, как добропорядочных, так и не очень. Ультразвук можно задействовать, например, при работе с IoT-приложениями, которые также становятся все более распространенными.
Google использует ультразвук для подключения мобильного телефона к Chromecast. Синхронизация такого типа (у Google есть и другие наработки из этой сферы) — потенциальный канал утечки информации, который могут использовать злоумышленники. Конечно, ультразвук сам по себе не даст в руки киберпреступникам много данных. «Но если вы знаете, что делать, то вы можете взломать систему всего лишь отправив несколько байтов. После вы получаете возможность управлять взломанной системой. Не всегда для того, чтобы сделать что-то плохое, нужно отправлять или получать массивы информации», — говорит профессор Му (Mu) специалист из Нортгемптонского университета (Великобритания).
Проблема усугубляется тем, что пока не разработаны правила использования ультразвуковых вставок в приложениях и рекламе. Правил и инструкций просто нет.
Мавродиус говорит, что для ультразвуковых технологий необходимо разработать такие же и спецификации, какие были разработаны для других беспроводных технологий, включая Bluetooth. Кроме того, разработчикам приложений стоит уже начать создавать защитные программы. Например, фильтр ультразвука для Google Chrome, блокирующий любой сайт, где содержатся ультразвуковые вставки. Еще один способ защиты — создание патча для мобильных устройств, который покажет пользователям, какие сайты или приложения содержат ультразвуковые вставки и предупредят о потенциальной опасности.
Специалисты считают, что если не начать контролировать ультразвуковые технологии сейчас, со временем проблема только усугубится.
Автор: marks