数百款App通过超声波信号静默追踪手机用户

前言

你的智能手机上可能安装了一些app持续监听用户周遭无法听到的高频超声波，借此了解到用户的动向和喜好，而用户对此一无所知。

超声波跨设备追踪是一种新技术，目前一些营销人员和广告公司用于跟踪多台设备中用户的动向并访问比之前广告更有针对性的信息。例如，用户去过的零售店、看过的商业广告或网页上的广告能发出一种独特的“超声音频信号”，包含接收器的移动app就能够捕获到。广告商以此通过创建一个用户个性化资料并通过判断哪些设备属于用户的方式收集用户兴趣爱好，从而推送基于用户兴趣的精准广告。

越来越多的app开始使用超声波追踪技术

安全研究人员在上周的IEEE欧洲安全和隐私研讨会上发布研究成果时指出他们发现了234款安卓app要求获取权限访问用户智能手机的麦克风来整合一种具体类型的超声波信号实施追踪。

另外，研究人员发现在他们所访问的35家零售店中有4家在入口处都安装了超声波信标。调查人员指出，SilverPush、Lisnr和Shopkick是三款使用超声波信标向移动设备发送信息的SDK。SilverPush允许开发人员跨设备追踪用户，而后两者实施的位置追踪。研究人员分析了数百万款app后发现只有少数app使用的是Shopkick和Lisnr SDK，不过这也比使用SilverPush SDK的多。

隐私担忧

虽然跨设备用户追踪技术目前被用于合法目的，但它已经引发了一些隐私担忧。由于app不要求获取移动数据或者无线连接而是只是通过麦克风监听信标，即使用户已断开网络追踪也起作用。

实际上去年就有研究人员展示了如何通过Tor访问网页广告发出超声波信号，让附近的手机或计算机将识别信息如位置和IP地址发送给广告商的方式，暴露Tor用户的身份。2014年斯诺登披露的文档揭示了监控机构是如何通过捕获外国游客在机场的MAC地址，然后跟通过在咖啡店、饭店和零售店安装的免费无线热点收集的数据进行比对，实现追踪外国游客的目的。它展示了情报机构如何使用这种超声波跨设备追踪技术追踪某个个体在美国的行踪。

如何防范？

由于我们无法阻止超声波信标发出周遭的声音频率，降低手机被监听的最佳方法就是限制对所安装app的不必要的权限。

换句话说就是要具备常识。

比如，Skype要获取麦克风权限？没问题，只要Skype按预设方式运行就可以。不过如果美容或卖衣服的商店要获取麦克风权限呢？果断不行。为了撤销这类不必要的app权限，一些安卓电话厂商如一加手机提供一种名为“隐私护卫”的功能，用户可拦截某些特定app跟主要功能无关的特定权限。

本文来自合作伙伴“阿里聚安全”，发表于2017年05月04日 14:58.