Como os aplicativos de rastreamento ultrassônico podem estar ouvindo você e como bloqueá-los
O rastreamento ultrassônico usa ondas sonoras captadas pelos microfones do dispositivo para coletar dados, identificar a localização de um usuário e muito mais. A metodologia utiliza sons que não podem ser ouvidos pelos humanos , mas pode ser detectado por diversos dispositivos, como smartphones e tablets. Esse rastreamento pode ser usado para diversos fins, incluindo a coleta de informações sobre usuários individuais em vários dispositivos e a descoberta de sua localização exata para veicular anúncios direcionados.
Essa tecnologia pode ser útil para os usuários, por exemplo, oferecendo ofertas em tempo real no supermercado, mas tem suas desvantagens. Existem preocupações óbvias com a privacidade de aplicativos que acessam o microfone do seu dispositivo, especialmente quando o fazem sem permissão explícita. Os entusiastas da privacidade também estão preocupados com a falta de um padrão universal na indústria, e as preocupações de segurança incluem o vulnerabilidade da tecnologia a tentativas de hacking .
Neste post, explicamos exatamente o que é o rastreamento ultrassônico, como funciona e para que é utilizado. Também discutiremos as implicações de privacidade e segurança do rastreamento ultrassônico e as etapas que você pode seguir para bloquear o rastreamento ultrassônico.
O que é rastreamento ultrassônico?
Ondas sonoras ultrassônicas são aquelas com frequência muito alta (geralmente acima de 18 kHz) para serem audíveis ao ouvido humano. Por exemplo, o apito de um cachorro emite sons ultrassônicos – o cachorro pode ouvi-lo, embora você não.
Nos últimos anos, os desenvolvedores encontraram usos para esses sons no rastreamento de dispositivos móveis. Os sons são codificados com dados para criar beacons que podem ser transmitidos de qualquer tipo de alto-falante e captado por um dispositivo de escuta .
Os beacons podem ser incorporados a sons do dia a dia, como o áudio de uma TV ou um anúncio na web. Eles podem até ser entrelaçados com a música que você ouve em lojas e elevadores, ou transmitidos sem nenhum som de cobertura.
Ao usar o microfone do seu dispositivo para ouvir os beacons, os fabricantes de telefones e desenvolvedores de aplicativos podem utilizá-los de diversas maneiras. Algumas aplicações gerais para esta tecnologia são:
- Construindo perfis de usuário: Ao detectar beacons incorporados em páginas da web, anúncios e até marcadores físicos, os anunciantes podem construir um perfil de suas atividades, tanto online quanto offline. Eles podem rastreá-lo em vários dispositivos e até mesmo formar links entre você e outras pessoas. Por exemplo, o seu telefone recebendo um beacon da smart TV do seu amigo conectaria você a essa pessoa.
- Emparelhamento de dispositivos: Os faróis ultrassônicos podem criar conexões entre dispositivos, por exemplo, entre um telefone e um dispositivo Chromecast .
- Detecção de proximidade: A tecnologia pode detectar sua localização exata, como dentro de uma loja. Isso pode ser usado para visitas autoguiadas a museus ou para receber ofertas personalizadas ao passar por uma seção específica de uma loja.
- Transmissão de dados: O rastreamento ultrassônico não depende de wi-fi ou outra conectividade, portanto pode ter uma ampla gama de usos potenciais nos casos em que as conexões não estão disponíveis.
Embora alguns desses casos de uso beneficiem os clientes, outros apresentam um risco de invasão de privacidade.
Preocupações de privacidade com rastreamento ultrassônico
O conceito de seu dispositivo rastreá-lo usando sons pode ser enervante, para dizer o mínimo. Os aplicativos precisam gravar sons para detectar os faróis ultrassônicos, por isso existe a preocupação de que outros sons (conversas, por exemplo) também possam ser gravados.
Felizmente, o acesso ao microfone do seu dispositivo requer sua permissão expressa, geralmente solicitada quando você instala o aplicativo em questão pela primeira vez. Infelizmente, muitos usuários de smartphones e outros dispositivos confiam demais e conceder permissões frequentemente solicitado por aplicativos recém-instalados sem pensar duas vezes.
Como os aplicativos só precisam de sons ultrassônicos, eles podem filtrar as partes audíveis das gravações, minimizando preocupações com privacidade. Em teoria, para proteger a privacidade do usuário, todos os aplicativos que usam rastreamento ultrassônico deveriam fazer isso. Claro, é difícil confirmar se eles praticam ou não filtragem de áudio para privacidade do usuário. E mesmo que estejam filtrando, dependendo do tipo de filtro utilizado, o áudio completo (incluindo sons audíveis) pode precisar ser armazenado, ainda que temporariamente.
Esta atividade é ilegal em algumas partes do mundo. Na Austrália, por exemplo, é ilegal “ouvir, gravar, monitorar ou ouvir uma conversa privada” sem o consentimento expresso de todas as partes. No entanto, não há dúvida de que a logística do policiamento de tais leis seria difícil.
Então, para onde vai a indústria em termos de privacidade? Aqui estão três marcos notáveis que ajudaram a moldar sua direção:
- Março de 2016: Avisos da Federal Trade Commission (FTC) foram emitidos para anunciantes que usam a tecnologia de rastreamento ultrassônico SilverPush.
- Outubro de 2016: Um estudo descobriu que o rastreamento ultrassônico poderia ser usado para substituir a privacidade concedida ao navegador Tor.
- Maio de 2017: Um estudo alemão revelou que centenas de aplicativos Android usavam tecnologia de rastreamento ultrassônico, muitos deles sem políticas de privacidade claras.
Vejamos cada um desses eventos com mais detalhes.
1. Avisos SilverPush FTC
Quando o rastreamento ultrassônico começou a ganhar força em 2016, uma das empresas na vanguarda da tendência foi SilverPush , um fornecedor de software de rastreamento entre dispositivos. SilverPush opera em 12 países e possui uma lista de clientes impressionante, incluindo Coca Cola, Unilever, KFC e Levi’s.
A empresa desenvolveu sua tecnologia de rastreamento em 2014 e pareceu ganhar participação de mercado nos anos seguintes. Uma versão de seu software usava microfones de smartphones para ouvir beacons embutidos no áudio de anúncios de TV. Os registros do conteúdo de TV visualizado poderiam então ser usados em análises e publicidade direcionada.
Em março de 2016, a FTC enviou cartas de advertência aos desenvolvedores de 12 aplicativos de telefone que integraram receptores ultrassônicos SilverPush. Um parágrafo dessa carta dizia:
Por exemplo, o código é configurado para acessar o microfone do dispositivo para coletar informações de áudio mesmo quando o aplicativo não está em uso . Além disso, seu aplicativo requer permissão para acessar o microfone do dispositivo móvel antes da instalação, apesar de não haver nenhuma funcionalidade evidente no aplicativo que exija tal acesso.
Segundo o site SilverPush, ela não utiliza mais rastreamento ultrassônico em suas campanhas:
Anteriormente, tínhamos um produto, mas a detecção de anúncios do nosso produto não funciona em nenhuma frequência inaudível ou tecnologia de beacon para smartphones [...]
Não está claro se os desenvolvedores dos aplicativos ofensivos alteraram seus aplicativos ou simplesmente os retiraram do mercado. No entanto, a emissão de cartas pela FTC atraiu muita atenção da mídia e destacou o SilverPush e a tecnologia de rastreamento ultrassônico.
2. Rastreamento ultrassônico que substitui a privacidade do Tor
Uma descoberta preocupante foi que o rastreamento ultrassônico pode até revelar as atividades na Internet daqueles que tomam medidas para ocultar suas identidades online. O uso do rastreamento ultrassônico foi comprovado como um método para identificar usuários da rede Tor.
Este hack foi descoberto e demonstrado por pesquisadores da University College London e da University of California, Santa Barbara, em outubro de 2016.
O mesmo estudo descobriu que o rastreamento ultrassônico entre dispositivos poderia ser usado para injetar beacons de áudio falsos e vazar informações privadas dos usuários.
Uma das principais preocupações desses pesquisadores foi a forma aleatória como a tecnologia ultrassônica está sendo implantada.
De acordo com Giovanni Vigna , Professor da Universidade da Califórnia, Santa Bárbara (UCSB):
[…] deixar o ultrassom completamente desmarcado causa confusão e as implementações são falhas porque são ad hoc. Existem riscos que só vão piorar sem padronização.
Eles sugerem que os sistemas operacionais poderiam incorporar uma metodologia padrão que sirva para melhorar a privacidade e a segurança do rastreamento ultrassônico. No entanto, tal padrão ainda não foi adotado.
3. Estudo de aplicativo Android alemão
A relatório da Universidade Técnica de Braunschweig, na Alemanha [PDF], publicado em maio de 2017, revelou a descoberta de 234 aplicativos Android que incorporavam receptores ultrassônicos. Nem todos esses aplicativos eram participativos e os proprietários dos dispositivos de hospedagem podem não saber que seus telefones estavam rastreando suas atividades.
Na sequência deste estudo, Google garantiu aos usuários que removeu todos os aplicativos violadores da loja ou garantiu que os desenvolvedores atualizassem suas políticas de privacidade de acordo.
O Google agora estipula que os desenvolvedores devem declarar expressamente em suas políticas de privacidade quando faróis ultrassônicos estão sendo usados e qual é sua finalidade . Políticas mais rigorosas provavelmente funcionaram como um impedimento para os desenvolvedores que usam a tecnologia, por isso não é surpresa que o uso de rastreamento ultrassônico em publicidade tenha caído em desuso, pelo menos publicamente.
Os sinais ultrassônicos são seguros?
Além das preocupações com a privacidade, existem questões relacionadas à segurança do rastreamento ultrassônico.
A transmissão e recepção de beacons devem acontecer quase instantaneamente para que a tecnologia seja eficaz. Isso deixa muito pouco tempo para autenticação e criptografia. O rápido retorno significa que muitas interações são realizadas sem autenticação de identidade e os dados são retransmitidos em um formato não criptografado.
Esse deixa a porta aberta para hackers quem pode manipular as comunicações. Um exemplo do mundo real de um ataque de rastreamento ultrassônico envolveu um beacon sendo tocado repetidamente para distorcer os dados. Outros usos indevidos podem incluir a interceptação de detalhes de contas bancárias em sistemas de sinalização internos, falsificação de códigos de ingressos, roubo de créditos e cartões-presente de lojas e transmissão de dados falsos.
Em 2017, pesquisadores da Universidade de Zhejiang, na China, desenvolveram Ataque de Golfinhos [PDF]. Este foi um método para obter acesso a aparelhos inteligentes e outros dispositivos IoT através de assistentes virtuais ativados por voz, como Siri, Alexa e Google Assistant.
Os pesquisadores conseguiram enviar comandos de voz inaudíveis para humanos para Amazon Eco e iPhones. Esses dispositivos fornecem acesso a navegadores de outros dispositivos conectados à Internet, permitindo que invasores abram sites infectados.
Essa estratégia poderia ser usada para introduzir malware sem arquivo , como sistemas de rastreamento, geradores de cliques, spyware, controladores de botnets e keyloggers. Também pode ser usado para controlar dispositivos como assistentes domésticos e talvez até sistemas de segurança.
Quem usa rastreamento ultrassônico?
Com tantos riscos de privacidade e segurança, a tecnologia não teve tanto uso geral como se esperava originalmente. No entanto, ainda existem muitas empresas que utilizam rastreamento ultrassônico de alguma forma. Aqui estão alguns exemplos:
Loja
Loja rastreia os compradores enquanto eles passam pelas lojas e oferece pontos de recompensa. Os pontos são acumulados automaticamente no aplicativo do telefone à medida que ele passa pelos beacons.
Lista não
Lista não é especializada em emissão de bilhetes e transmissão de pagamentos. Tal como acontece com o Shopkick, este aplicativo requer a participação do cliente e não é um sistema de rastreamento secreto.
Google nas proximidades
Google nas proximidades é um recurso útil que permite a comunicação com dispositivos próximos. Depende de um combinação de sinalização ultrassônica , Bluetooth e wi-fi para estabelecer proximidade.
Fanpictor
Fanpictor produz um aplicativo para envolvimento do público em shows e eventos esportivos. Isso usa sinalização ultrassônica para coordenar os telefones do público e criar um show de luzes, conforme demonstrado no vídeo abaixo.
[ct_yt_embed url=”https://www.youtube.com/watch?v=L4I_nxc-XwA”]
Botões Amazon Dash
Embora a versão física deste produto foi descontinuado , algumas unidades existentes ainda estão em uso. Os Amazon Dash Buttons podem ser usados para reordenar itens domésticos comuns com o apertar de um botão e usar sinalização ultrassônica para se comunicar com seu dispositivo.
Como bloquear o rastreamento ultrassônico
Seu principal sistema de defesa contra o rastreamento ultrassônico é a vigilância. Embora todo dispositivo computadorizado com microfone esteja em risco, o principal alvo desses sistemas é o smartphone e o acesso é facilitado por aplicativos de escuta. Aqui estão algumas dicas para evitar o rastreamento ultrassônico.
1. Não conceda acesso ao seu microfone
Embora você possa estar com pressa para usar um aplicativo, é sempre importante pensar duas vezes antes de conceder permissões, especialmente para coisas como microfone e câmera. Observe que alguns aplicativos podem não funcionar se você não conceder todas as permissões, então você pode ser forçado a tomar uma decisão sobre a importância da operação desse aplicativo para você.
Além de seguir este conselho para instalações futuras, você também pode verificar as permissões existentes do aplicativo. Você pode verificar nossos guias para proteger Android e iOS permissões de aplicativos para obter mais informações.
2. Leia atentamente as políticas de privacidade
Sejamos realistas, todos nós odiamos ler as políticas de privacidade. Mas o fato é que eles contêm muitas informações importantes. Verifique se há alguma menção ao uso do microfone do seu telefone e para que finalidade ele pode ser usado. Seja especialmente cauteloso com políticas que mencionam o microfone ou o áudio onde ele não faz sentido para esse aplicativo específico .
Esteja ciente de que os desenvolvedores de aplicativos costumam usar linguagem alternativa em suas políticas, tornando mais difícil detectar práticas suspeitas. Por exemplo, “sons inaudíveis” podem ser usados em vez de “rastreamento ultrassônico”.
Observe também que os processos de triagem da loja de aplicativos nem sempre detectarão violações das políticas, portanto, um aplicativo infrator (que não divulga o uso ultrassônico em sua política) pode passar despercebido. Nesse caso, é ainda mais importante ficar atento a quais permissões estão sendo solicitadas.
3. Esteja atento a possíveis patches ou extensões
No passado, os desenvolvedores criaram várias ferramentas que ajudavam os usuários a evitar o rastreamento ultrassônico. Por exemplo, o Extensão SilverDog para Chrome lançado em 2017 atua como um firewall de áudio para bloquear faróis ultrassônicos. E Pilfer Shush é um aplicativo Android que escuta frequências ultra-altas para alertá-lo quando um aplicativo pode estar usando-as.
Dito isto, o desenvolvimento desses tipos de aplicativos foi mais proeminente quando houve mais entusiasmo em torno do SilverPush e do estudo alemão de aplicativos Android. As coisas parecem ter desacelerado desde então e não estamos vendo nenhum aplicativo ou extensão projetado para o mercado de massa. No entanto, se começarmos a ver um aumento na adoção da tecnologia ultrassônica, sem dúvida o desenvolvimento do aplicativo seguirá.