TRACAGE PAR ULTRASON APLICATION TELEPHONE MOBILE ILUMINATIS
Les menaces dystopiques de surveillance des entreprises nous viennent aujourd'hui de toutes les directions. Les entreprises proposent des appareils "toujours allumés" qui écoutent nos commandes vocales, et les spécialistes du marketing nous suivent sur le Web pour créer des profils d'utilisateurs personnalisés afin qu'ils puissent (peut-être) nous montrer des publicités sur lesquelles nous cliquerons. Maintenant, les spécialistes du marketing ont expérimenté la combinaison de ces approches Web et audio pour suivre les consommateurs d'une autre manière inquiétante de science-fiction: avec des signaux audio que votre téléphone peut entendre, mais vous ne pouvez pas. Et bien que vous ne sachiez probablement pas que le marketing du sifflet pour chien est en cours, les chercheurs proposent déjà des moyens de vous protéger.
La technologie, appelée suivi ultrasonique multi-appareils, intègre des tonalités à haute fréquence qui sont inaudibles pour les humains dans les publicités, les pages Web et même les emplacements physiques comme les magasins de détail. Ces «balises» à ultrasons émettent leurs séquences audio avec des haut-parleurs, et presque tous les microphones d'appareils - comme ceux auxquels une application sur un smartphone ou une tablette accède - peuvent détecter le signal et commencer à rassembler une image de ce que vous avez vu, de ce les sites que vous avez parcourus, et même où vous avez été. Maintenant que vous êtes suffisamment inquiet, la bonne nouvelle est qu'à la conférence de sécurité de Black Hat Europe jeudi, un groupe basé à l'Université de Californie, Santa Barbara présentera un patch Android et une extension Chrome qui donneront aux consommateurs plus de contrôle sur la transmission et la réception des emplacements ultrasoniques sur leurs appareils.
Au-delà du facteur de fluage abstrait du suivi par ultrasons, la plus grande inquiétude concernant la technologie est qu'elle nécessite de donner à une application la possibilité d'écouter tout ce qui vous entoure, explique Vasilios Mavroudis, chercheur en confidentialité et sécurité à l'University College London qui a travaillé sur la recherche en cours. présenté à Black Hat. "La mauvaise chose, c'est que si vous êtes une entreprise qui souhaite fournir un suivi par ultrasons, il n'y a pas d'autre moyen de le faire actuellement, vous devez utiliser le microphone", explique Mavroudis. "Vous serez donc ce que nous appelons des" sur-privilégiés ", car vous n'avez pas besoin d'accéder à des sons audibles mais vous devez les obtenir."
Ce type de suivi, qui a été proposé sous une forme ou une autre par des sociétés comme Silverpush et Shopkick, n'a guère explosé en adoption. Mais cela persiste car de plus en plus de sociétés tierces développent des outils à ultrasons pour une gamme d'utilisations, comme la transmission de données sans Wi-Fi ou autre connectivité.1 Plus la technologie évolue, plus elle est facile à utiliser dans le marketing. En conséquence, les chercheurs affirment que leur objectif est d'aider à protéger les utilisateurs contre la fuite accidentelle de leurs informations personnelles. «Il existe certaines lacunes sérieuses en matière de sécurité qui doivent être corrigées avant que la technologie ne soit plus largement utilisée», explique Mavroudis. "Et il y a un manque de transparence. Les utilisateurs sont fondamentalement ignorants de ce qui se passe."
Actuellement, lorsque Android ou iOS nécessitent des applications pour demander l'autorisation d'utiliser le microphone d'un téléphone. Mais la plupart des utilisateurs ne savent probablement pas qu'en accordant cette autorisation, les applications qui utilisent le suivi par ultrasons pourraient accéder à leur microphone - et à tout ce qu'il capte, et pas seulement aux fréquences ultrasoniques - tout le temps, même lorsqu'elles fonctionnent en arrière-plan.
Le correctif des chercheurs ajuste le système d'autorisation d'Android afin que les applications doivent indiquer clairement qu'elles demandent l'autorisation de recevoir des entrées inaudibles. Il permet également aux utilisateurs de choisir de bloquer tout ce que le microphone capte sur le spectre des ultrasons. Le patch n'est pas une version officielle de Google, mais représente les recommandations des chercheurs pour une étape que les systèmes d'exploitation mobiles peuvent prendre pour offrir plus de transparence.
Pour bloquer l'autre extrémité de ces communications audio aiguës, l'extension Chrome du groupe filtre de manière préventive les composants audio des sites Web pendant leur chargement pour empêcher ceux qui émettent des ultrasons de s'exécuter, empêchant ainsi les pages de les émettre. Il y a quelques anciens services que l'extension ne peut pas filtrer, comme Flash, mais dans l'ensemble, l'extension fonctionne un peu comme un bloqueur de publicité pour le suivi par ultrasons. Les chercheurs prévoient de publier leur patch et leur extension disponibles pour téléchargement plus tard ce mois-ci.
Le suivi par ultrasons a évolué au cours des dernières années et il est relativement facile à déployer car il repose sur des haut-parleurs et des microphones de base au lieu d'un équipement spécialisé. Mais depuis le début, la technologie a rencontré des contraintes quant à ses limites de confidentialité et de sécurité. Actuellement, il n'y a pas de normes de l'industrie pour légitimer les balises ou leur permettre d'interopérer comme il en existe avec un protocole comme Bluetooth. Et les transmissions de suivi par ultrasons sont difficiles à sécuriser car elles doivent se produire rapidement pour que la technologie fonctionne. Idéalement, les balises s'authentifieraient avec les applications de réception chaque fois qu'elles interagiraient pour réduire la possibilité qu'un pirate puisse créer de fausses balises en manipulant les tonalités avant de les envoyer. Mais les balises doivent terminer leurs transmissions dans le temps qu'il faut à quelqu'un pour consulter brièvement un site Web ou passer un magasin, et c'est difficile
Les menaces dystopiques de surveillance des entreprises nous viennent aujourd'hui de toutes les directions. Les entreprises proposent des appareils "toujours allumés" qui écoutent nos commandes vocales, et les spécialistes du marketing nous suivent sur le Web pour créer des profils d'utilisateurs personnalisés afin qu'ils puissent (peut-être) nous montrer des publicités sur lesquelles nous cliquerons. Maintenant, les spécialistes du marketing ont expérimenté la combinaison de ces approches Web et audio pour suivre les consommateurs d'une autre manière inquiétante de science-fiction: avec des signaux audio que votre téléphone peut entendre, mais vous ne pouvez pas. Et bien que vous ne sachiez probablement pas que le marketing du sifflet pour chien est en cours, les chercheurs proposent déjà des moyens de vous protéger.
La technologie, appelée suivi ultrasonique multi-appareils, intègre des tonalités à haute fréquence qui sont inaudibles pour les humains dans les publicités, les pages Web et même les emplacements physiques comme les magasins de détail. Ces «balises» à ultrasons émettent leurs séquences audio avec des haut-parleurs, et presque tous les microphones d'appareils - comme ceux auxquels une application sur un smartphone ou une tablette accède - peuvent détecter le signal et commencer à rassembler une image de ce que vous avez vu, de ce les sites que vous avez parcourus, et même où vous avez été. Maintenant que vous êtes suffisamment inquiet, la bonne nouvelle est qu'à la conférence de sécurité de Black Hat Europe jeudi, un groupe basé à l'Université de Californie, Santa Barbara présentera un patch Android et une extension Chrome qui donneront aux consommateurs plus de contrôle sur la transmission et la réception des emplacements ultrasoniques sur leurs appareils.
Au-delà du facteur de fluage abstrait du suivi par ultrasons, la plus grande inquiétude concernant la technologie est qu'elle nécessite de donner à une application la possibilité d'écouter tout ce qui vous entoure, explique Vasilios Mavroudis, chercheur en confidentialité et sécurité à l'University College London qui a travaillé sur la recherche en cours. présenté à Black Hat. "La mauvaise chose, c'est que si vous êtes une entreprise qui souhaite fournir un suivi par ultrasons, il n'y a pas d'autre moyen de le faire actuellement, vous devez utiliser le microphone", explique Mavroudis. "Vous serez donc ce que nous appelons des" sur-privilégiés ", car vous n'avez pas besoin d'accéder à des sons audibles mais vous devez les obtenir."
Ce type de suivi, qui a été proposé sous une forme ou une autre par des sociétés comme Silverpush et Shopkick, n'a guère explosé en adoption. Mais cela persiste car de plus en plus de sociétés tierces développent des outils à ultrasons pour une gamme d'utilisations, comme la transmission de données sans Wi-Fi ou autre connectivité.1 Plus la technologie évolue, plus elle est facile à utiliser dans le marketing. En conséquence, les chercheurs affirment que leur objectif est d'aider à protéger les utilisateurs contre la fuite accidentelle de leurs informations personnelles. «Il existe certaines lacunes sérieuses en matière de sécurité qui doivent être corrigées avant que la technologie ne soit plus largement utilisée», explique Mavroudis. "Et il y a un manque de transparence. Les utilisateurs sont fondamentalement ignorants de ce qui se passe."
Actuellement, lorsque Android ou iOS nécessitent des applications pour demander l'autorisation d'utiliser le microphone d'un téléphone. Mais la plupart des utilisateurs ne savent probablement pas qu'en accordant cette autorisation, les applications qui utilisent le suivi par ultrasons pourraient accéder à leur microphone - et à tout ce qu'il capte, et pas seulement aux fréquences ultrasoniques - tout le temps, même lorsqu'elles fonctionnent en arrière-plan.
Le correctif des chercheurs ajuste le système d'autorisation d'Android afin que les applications doivent indiquer clairement qu'elles demandent l'autorisation de recevoir des entrées inaudibles. Il permet également aux utilisateurs de choisir de bloquer tout ce que le microphone capte sur le spectre des ultrasons. Le patch n'est pas une version officielle de Google, mais représente les recommandations des chercheurs pour une étape que les systèmes d'exploitation mobiles peuvent prendre pour offrir plus de transparence.
Pour bloquer l'autre extrémité de ces communications audio aiguës, l'extension Chrome du groupe filtre de manière préventive les composants audio des sites Web pendant leur chargement pour empêcher ceux qui émettent des ultrasons de s'exécuter, empêchant ainsi les pages de les émettre. Il y a quelques anciens services que l'extension ne peut pas filtrer, comme Flash, mais dans l'ensemble, l'extension fonctionne un peu comme un bloqueur de publicité pour le suivi par ultrasons. Les chercheurs prévoient de publier leur patch et leur extension disponibles pour téléchargement plus tard ce mois-ci.
Le suivi par ultrasons a évolué au cours des dernières années et il est relativement facile à déployer car il repose sur des haut-parleurs et des microphones de base au lieu d'un équipement spécialisé. Mais depuis le début, la technologie a rencontré des contraintes quant à ses limites de confidentialité et de sécurité. Actuellement, il n'y a pas de normes de l'industrie pour légitimer les balises ou leur permettre d'interopérer comme il en existe avec un protocole comme Bluetooth. Et les transmissions de suivi par ultrasons sont difficiles à sécuriser car elles doivent se produire rapidement pour que la technologie fonctionne. Idéalement, les balises s'authentifieraient avec les applications de réception chaque fois qu'elles interagiraient pour réduire la possibilité qu'un pirate puisse créer de fausses balises en manipulant les tonalités avant de les envoyer. Mais les balises doivent terminer leurs transmissions dans le temps qu'il faut à quelqu'un pour consulter brièvement un site Web ou passer un magasin, et c'est difficile
Commentaires
Enregistrer un commentaire