“咻咻” 一声,隐私拜拜
最近网络安全问题总是警告不断,之前发生的大规模 DDoS 攻击余波未平,又来了一种新的安全隐患危机。
Fortune 近日报道了一种被称为市场营销 “圣杯” 的技术——超声波跨设备跟踪(ultrasonic cross-device tracking),简称为 uXDT。 通过利用 uXDT,app 可以通过手机麦克风监测你是否有在观看特定的电视节目或广告,同理,如果平板或电脑打开的网页带有相关超声波信号,app 同样也可以采集该信号。
举一个大家更熟悉的例子 —— 支付宝的当面付功能。地铁站的信号总体比较差,因此里面的自动贩卖机大多都支持当面付功能,用户只需要选好商品,然后打开声波支付,即使离线的手机也可以通过 “咻咻” 几声,让保持联网的贩卖机拾获声波信息,完成支付。不过,当面付使用的是声波支付,不是超声波。
图片来自安卓中国
University College London(UCL)团队本周即将在 Black Hat 会议上演讲相关的议题。在介绍中,团队谈到现时有很多大公司(包括 Google、雀巢等)都在关注相关 uXDT 技术提供商,例如 SilverPush、Signal360 和 Audible Magic。并且还指出,现时有许多 app 已经背着用户启用 uXDT 广告框架,利用 app 主动获取超声波信号。联邦贸易委员会(Federal Trade Commission)在今年 3 月的时候已经就发文警告相关使用该项技术的公司。
如何从电视将加密声波从手机传回到技术供应商(图自 The R Register)
据 UCL 介绍,现在该项技术主要还是用于营销,少见黑客使用。早在 2015 年底, 就已经有网站汇总了有使用 SilverPush(其中一个 uXDT 供应商技术)的 app 清单。但至今为止,还没有机构发表针对该项技术详尽的分析报告以及安全应对方案。
题图来自 Consumer Reports