个人隐私安全该何去何从-大量APP秘密收集追踪个人信息

研究人员在上周的IEEE欧洲议会上表示，他们在近期的一项研究中发现了234种安卓应用会向用户发出“允许使用麦克风”的请求，以此通过超声波信号追踪用户信息。基于超声波跨设备追踪技术(Ultrasonic Cross-Device Tracking，uXDT)是许多市场和广告公司的“宠儿”。

超声波音频信标可以植入电视广告或网页广告，而装有接收器的移动APP则可以收集这些信标。由此，广告商可以通过此项技术跨设备追踪用户信息，创建用户的个性化档案，通过分析设备收集的数据了解用户的兴趣所在，从而为每位用户推荐他们感兴趣的广告。

越来越多的APP开始使用uXDT技术

在这项研究中，研究人员针对VirusTotal服务的数百万Android应用进行了分析，他们发现一小部分应用采用名为Shopkick和Lisnr的超声波音频技术。还有不少应用则采用了SilverPush SDK，这是个可让开发者对用户进行跨设备追踪的SDK。SilverPush、Lisnr和Shopkick都是为开发者准备的SDK，这三款SDK都采用超声波信标给移动设备发送信息。

开发者可以通过SilverPush跨多个设备追踪用户信息，而 Lisnr 和Shopkick 则用于对用户进行位置追踪。研究人员在分析了大量Android应用之后发现，使用 Lisnr和Shopkick SDK的厂商并不多，但是使用SilverPush SDK的却大有人在。这份报告还提到，在研究人员走访的35家德国零售商店中，就有4家店内存在超声波信标。

早在2015年，就有一份研究显示，样本中有6-7个APP使用了SilverPush SDK，该企业由此监视了大约1800万台智能手机，但这一数量正在不断上升。

在2016年的BlackHat黑客大会上就有研究人员对uXDT技术进行了展示，并指出这种技术可以通过反匿名暴露Tor用户的真实信息。(例如，在正常情况下，用户通过比特币进行交易不会留下真实的身份信息，但一家恶意网站可以追踪出用户的真实身份，或揭露出通过匿名网络，如Tor洋葱网络，浏览网页的用户身份。)

隐私安全将何去何从?

虽然uXDT技术的应用目前尚未“误入歧途”，但它仍然引发了许多对隐私的担忧——app只需通过麦克风接收超声波就可进行追踪活动，而无需任何移动网络或无线网络。该研究报告提到：

“SilverPush的存在实际上缩小了监控和合法追踪之间的距离。SilverPush和Lisnr采用相似的通讯协议和信号处理方式。即便用户指导Lisnr会进行地理位置追踪，SilverPush也不会公开采用这种追踪功能的应用名称。”

2014年斯诺登事件曝光后，泄露文档提到美国情报机构如何获取国外旅客在不同城市间的动向：机场会收集这些人所用设备的MAC地址，而全国各地咖啡厅、餐厅和零售店的WiFi热点也会进行MAC地址识别，情报机构再对两者进行比对。国外媒体认为，超声波技术对于夸设备追踪用户动向甚至会有更好的效果。

如何进行自我保护?

既然我们无法阻止超声波信号在自己周围传输，那么为了减少智能手机被监听的风险，最好的方法就是严格限制通过APP对设备发起的“请求”。

换而言之，这里我们只需运用自己的常识。例如，如果Skype请求“使用麦克风”，显然十分合理的，因为在Skype中将用到这一功能。但倘若美妆或服饰APP发送这一请求，结果又将如何?作为用户，应该严格拒绝请求。

为了取消这些不需要的APP请求，一些Android手机厂商，例如一加为用户提供了一种叫做“隐私指南”(Privacy Guard)的功能，用户可以通过这一功能禁止一些与APP基本功能无关的请求。 Android 7和iOS 10用户同样可以通过设置实现这一操作。

【本文为51CTO专栏“柯力士信息安全”原创稿件，转载请联系原作者(微信号：JW-assoc)】

戳这里，看该作者更多好文

作者：柯力士信息安全
来源：51CTO