«Неслышимые частоты»: появился файрвол блокирующий ультразвуковые cookies
Ученые из университета прикладных наук им. св. Пёльтена [1] в Австрии разработали [2] мобильное приложение, которое умеет детектировать акустические cookies и блокировать отслеживание устройства с их помощью. Система получила название SoniControl.
Под катом — расскажем, как работает приложение.
[3]
/ Flickr / Pete Sheffield [4] / CC [5]
Почему потребовалось приложение
В 2015 году компания SilverPush представила технологию ultrasonic cross-device tracking. Она позволяла [6] рекламным щитам или баннерам в общественных местах (в торговых центрах, на стадионах и др.) издавать высокочастотные звуки, которые улавливались микрофонами мобильных устройств. Получая сигнал от маяка, смартфон показывал владельцу рекламу соседнего магазина или кинотеатра.
В свое время проблемами, связанными с новой технологий, обеспокоились [7] даже в американском Центре демократии и технологий (CDT [8]) и Федеральной торговой комиссию США (FTC [9]). Суть заключается в том, что приложения могли расшифровать эти сигналы и определить, что в текущий момент видит пользователь и на какие сайты заходит. Ученые из Брауншвейгского технического университета [10] обнаружили, что действия пользователей таким образом отслеживали [11] порядка двухсот Android-приложений. В результате Google даже пришлось [12] удалить часть из них из Play Store.
Группа исследователей из Университетского колледжа Лондона (UCL [13]) и Калифорнийского университета в Санта-Барбаре (UCSB [14]) также показала [15], что с помощью ультразвуковых маячков пользователей можно деанонимизировать.
Разработчики проекта SoniControl обеспокоились [2] тем, что это ставит под угрозу конфиденциальность пользовательских данных. Поэтому и разработали свой ультразвуковой файрвол.
Как работает SoniControl
SoniControl реализован [16] на C++ и Java. Во время работы приложение создает модель фонового ультразвукового шума, а затем отслеживает его изменения (то есть ищет посторонние сигналы). Для этого сигнал преобразуется из временного представления в частотное, что дает возможность оценить амплитуду сигнала для каждой частоты. Сама обработка включает в себя следующие этапы [16]:
- Фильтруются слышимые частоты (для этого применяется фильтр верхних частот с пороговым значением 17 кГц);
- Нормализуется спектрограмма;
- Нормализованная спектрограмма добавляется в фоновый буфер, который приставляет собой список спектрограмм.
Как только фоновый буфер заполняется (на это уходит примерно 10 секунд), начинается анализ по следующему алгоритму:
- Вычисляется «текущая фоновая модель» — это значения амплитуды для каждой частоты;
- Построенная модель сравнивается с нормализованной спектрограммой (для этого используется расстояние Кульбака — Лейблера [17]);
- Если вычисленное расстояние большое, то эта частота помещается в «медианный буфер»;
- При заполнении этого буфера, вычисляется его медиана. Если полученное значение равно 1, значит была зафиксирована ультразвуковая коммуникация. В этом случае приложение предложит пользователю заблокировать ультразвуковой сигнал;
- Если был обнаружен ультразвуковой сигнал, то фоновая модель «очищается» от последних записей, чтобы система не посчитала модифицированный сигнал нормой.
/ Flickr / U.S. Department of Agriculture [18] / PD
Как еще можно защититься
Специалисты ИТ-индустрии считают, что для полноценной защиты от отслеживания устройств с помощью ультразвука, необходимо начать разрабатывать отраслевые стандарты. «Как только всё будет стандартизировано, разработчики ОС для мобильных устройств смогут реализовать API, которые запретят приложениям получать доступ к микрофону без необходимости», — отмечает [19] Василиос Мавродис (Vasilios Mavroudis) из UCL.
Пока стандартов нет, можно воспользоваться другими способами защиты. Один из них — ограничить [20] доступ к микрофону для приложений с помощью патча [21] для Android. Он дает пользователям возможность блокировать работу отдельных приложений с ультразвуковым спектром. А для серфинга в интернете можно установить расширение [22] для браузера Google Chrome, выполняющее похожие функции.
Также можно воспользоваться приложением [23] похожим на SoniControl — UltraSound Detector, однако оно помогает просто обнаружить ультразвуковое вмешательство, а не блокирует его.
Дополнительное чтение в блоге на сайте VAS Experts:
- Firewall или DPI – инструменты защиты разного назначения [24]
- Выстрел в ногу, или критические ошибки в строительстве сетей операторов связи [25]
- Протокол IPv6 – от теории к практике [26]
- Как раздавать бесплатный Wi-Fi согласно законодательству [27]
Автор: VAS Experts
Источник [28]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/285367
Ссылки в тексте:
[1] университета прикладных наук им. св. Пёльтена: https://en.wikipedia.org/wiki/St._P%C3%B6lten_University_of_Applied_Sciences
[2] разработали: https://www.eurekalert.org/pub_releases/2018-05/spuo-ufm052418.php
[3] Image: https://habr.com/company/vasexperts/blog/414937/
[4] Pete Sheffield: https://www.flickr.com/photos/twosheffs/25355400070
[5] CC: https://creativecommons.org/licenses/by-sa/2.0/
[6] позволяла: https://hightech.fm/2017/05/04/ultrasound-tracking
[7] обеспокоились: https://www.alienvault.com/blogs/security-essentials/ultrasound-tracking-beacons-making-things-sort-of-creepy-for-consumers
[8] CDT: https://en.wikipedia.org/wiki/Center_for_Democracy_and_Technology
[9] FTC: https://en.wikipedia.org/wiki/Federal_Trade_Commission
[10] Брауншвейгского технического университета: https://en.wikipedia.org/wiki/Braunschweig_University_of_Technology
[11] отслеживали: https://www.bleepingcomputer.com/news/security/234-android-applications-are-currently-using-ultrasonic-beacons-to-track-users/
[12] пришлось: https://www.cbsnews.com/news/google-removes-apps-that-use-ultrasonic-frequencies-to-track-users/
[13] UCL: https://en.wikipedia.org/wiki/University_College_London
[14] UCSB: https://en.wikipedia.org/wiki/University_of_California,_Santa_Barbara
[15] показала: https://www.youtube.com/watch?v=GRPYF9b7_tA
[16] реализован: http://sonicontrol.fhstp.ac.at/wp-content/uploads/2017/07/sonicontrol_developer_doc_and-architecture_public.pdf
[17] расстояние Кульбака — Лейблера: https://ru.wikipedia.org/wiki/%D0%A0%D0%B0%D1%81%D1%81%D1%82%D0%BE%D1%8F%D0%BD%D0%B8%D0%B5_%D0%9A%D1%83%D0%BB%D1%8C%D0%B1%D0%B0%D0%BA%D0%B0_%E2%80%94_%D0%9B%D0%B5%D0%B9%D0%B1%D0%BB%D0%B5%D1%80%D0%B0
[18] U.S. Department of Agriculture: https://www.flickr.com/photos/usdagov/18853032840/
[19] отмечает: https://www.wired.com/2016/11/block-ultrasonic-signals-didnt-know-tracking/
[20] ограничить: https://www.wired.com/2017/05/hundreds-apps-can-listen-beacons-cant-hear/
[21] патча: https://www.pindrop.com/blog/android-patch-released-to-stop-ultrasonic-tracking/
[22] установить расширение: https://www.ghacks.net/2017/01/06/silverdog-a-sound-firewall-for-chrome/
[23] воспользоваться приложением: https://play.google.com/store/apps/details?id=com.microcadsystems.serge.ultrasounddetector
[24] Firewall или DPI – инструменты защиты разного назначения: https://vasexperts.ru/blog/bezopasnost/firewall-ili-dpi-instrumenty-zashhity-raznogo-naznacheniya/
[25] Выстрел в ногу, или критические ошибки в строительстве сетей операторов связи: https://vasexperts.ru/blog/telekom/ekonomiya-na-spichkax-i-neskolko-sposobov-vystrelit-sebe-v-nogu-kriticheskie-oshibki-v-stroitelstve-setej-operatorov-svyazi/
[26] Протокол IPv6 – от теории к практике: https://vasexperts.ru/blog/telekom/protokol-ipv6-ot-teorii-k-praktike/
[27] Как раздавать бесплатный Wi-Fi согласно законодательству: https://vasexperts.ru/blog/skat-dpi/predostavlenie-besplatnogo-wi-fi-soglasno-zakonodatelstvu/
[28] Источник: https://habr.com/post/414937/?utm_source=habrahabr&utm_medium=rss&utm_campaign=414937
Нажмите здесь для печати.