reklama

Bláznivá představa: Kalifornští vědci varují před zneužitím ultrazvuku. Může nás sledovat

  • Co když weby a mobilní aplikace tajně pískají?
  • Vědci z Kalifornie varují před zneužitím ultrazvuku
  • Demonstrovali, jak by mohl pomoci odhalit třeba identitu na Toru

S nástupem bezdrátové komunikace jsme si zvykli, že svět okolo nás téměř do posledního hertzu vyplňují kmitočty rádiového spektra, kde mezi sebou o kus pásma bojuje televizní a rozhlasové vysílání, mobilní signál, sousedova Wi-Fi a nakonec i šum vesmíru a kdejakého elektrického spotřebiče.

Telefon, který poslouchá ultrazvukové cookies

Jenže rádiový šum souseda, který právě za tenkou panelovou stěnou sleduje na svém laptopu Týden Živě, možná není jediný. Kdyby vás evoluce obdařila sluchem netopýrů, třeba byste zaslechli i drobné umělé pískání vašeho telefonu, na kterém se zrovna načetla stránka s reklamní technologií SilverPush.

Je to právě tento startup, který již roky hledá novou technologii identifikace reklamního spotřebitele. K tomu se doposud nejčastěji používají klasické webové cookies uložené v prohlížeči, SilverPush se však již v roce 2014 pochlubil, že vyvíjí technologii ultrazvukového trackingu.

Klepněte pro větší obrázek
Klasické cookies, tedy drobná data, které mohou weby ukládat do paměti prohlížeče, netřeba představovat. Některé weby experimentující s reklamními next-gen technologiemi ale mohou koketovat i s ultrazvukem.

Technologie počítá s tím, že když se v prohlížeči načte reklamní kód, uloží se do něj skutečně klasická sušenka cookie, ale prohlížeč zároveň vyloudí zvuk s vysokou frekvencí, který nemá člověk šanci zaslechnout. Pokud bude v blízkosti nějaké další zařízení, které bude neustále poslouchat (dělají to mobilní aplikace s reklamním kódem SilverPush) a takový zvuk zaslechne, dekóduje z něj různé popisné informace a bude moci do ústředí zaslat informaci, že obě zařízení, třeba laptop a mobil, asi patří jednomu člověku.

Vygenerování ultrazvukového signálu přímo webovou stránkou přitom dnes není nic složitého, práci se surovým zvukem totiž v rámci HTML5 specifikace Web Audio API zvládne nejeden prohlížeč. Stejně tak dnešní mobily, pakliže dáte aplikaci při instalaci dostatek práv k použití mikrofonu, mohou běžet na pozadí a bedlivě poslouchat, jestli se náhodou neozve to, co potřebují slyšet.

O podobných kontroverzních technologiích a jejich efektivitě se příliš často nemluví, těžko tedy soudit, jestli nakonec skončilo jen u prototypů, anebo podobnou technologii některé reklamní sítě už opravdu nasadily v praxi. V každém případě platí, že SilverPush od té doby získal hromadu zajímavých investic.

Ultrazvukový firewall ze Santa Barbary

Před zneužitím ultrazvukových cookies přitom varují i někteří bezpečnostní specialisté – třeba výzkumníci z Kalifornské univerzity v Santa Barbaře, kteří na webu ubeacsec.org dokonce navrhují úpravu zdrojových kódu Androidu takovým způsobem, aby se zamezilo nevědomé ultrazvukové komunikaci. Ta sama o sobě přitom není špatná a koketoval s ní i Google pro párování dvou zařízení, které nejsou připojené do žádné společné sítě (Wi-Fi). Prostě si zapískají a předají informace.

Klepněte pro větší obrázek
Vědci upozroňují, že by si příjem ultrazvuku zasloužil vlastní právo, které musíme na Androidu odsouhlasit

Vědci dokonce vyvinuli experimentální doplněk SilverDog pro Chrome, který by měl fungovat jako jakýsi zvukový firewall, který má opět pomocí Web Audio API z přehrávaného zvuku na stránce odstranit všechny vysoké frekvence, které by mohly nést nějaký komunikační signál.

Klepněte pro větší obrázek
Experimentální doplněk SilverDog odstraní z přehrávaného zvuku vysoké (prakticky neslyšitelné) frekvence, které by mohly sloužit jako ultrazvukové sušenky

Jak identifikovat surfaře na Toru pomoci ultrazvuku

No dobrá, ale existuje vlastně nějaký způsob, jak ultrazvuk opravdu prakticky zneužít? Tým specialistů ze Santa Barbary je přesvědčen, že ano, a proto na sklonku roku vystoupil s docela bláznivou demonstrací, jak by třeba taková FBI či NSA mohla využít ultrazvukových sušenek k odhalení identity surfařů v anonymním Toru.

Zní to skutečně bláznivě, stejně neuvěřitelné však byly ještě před pár lety některé techniky, které NSA alespoň podle úniků Edvarda Snowdena skutečně používá.

Takže se na to pojďme podívat. Uvnitř Toru můžete spustit tzv. skryté služby, což jsou vcelku běžné webové stránky, jejichž provozovatel je však stejně anonymní, jako ostatní členové, a tak se zde v minulosti dařilo třeba mnoha pochybným e-shopům a tržištím, kde se platilo bitcoinem a lidé pochopitelně neutráceli za sluchátka a jiné běžné komodity.

Zátahy FBI na skryté služby tuto scénu nakonec poněkud znevěrohodnily, protože se ukázalo, že služby často nejsou tak skryté, jak se opravdu zdálo, hlavně však FBI provozovala hromadu vlastních (případně zabavených) skrytých služeb – třeba pedofilní fóra, načež mohla monitorovat jejich aktivitu.

uXTD

Vědci z Kalifornie úspěšně demonstrovali způsob, jak by je taková skrytá služba mohla identifikovat. Popisují jej jako uXDTultrasound cross-device tracking a jedná se v podstatě o totéž, na čem přinejmenším před dvěma lety pracoval zmíněný SilverPush.

Klepněte pro větší obrázek
Odhalení identity surfaře v Toru pomocí ultrazvukového signálu a telefonu

FBI, NSA či jakákoliv jiná agentura by mohla opět ovládnout nějakou skrytou službu v Toru, na jejichž stránkách by byl opět ultrazvukový generátor, který by po návštěvě vyslal slaboučký signál do okolí tak, aby jej uslyšela nejbližší zařízení. Pokud by na nich běžel přijímač (mohlo by se jednat třeba o falešnou aplikaci – malware, který by poslouchal na pozadí), který by signál zachytil, mohl by do ústředí předat informaci o tomto telefonu s tím, že se nejspíše jedná o mobil toho, kterého se snaží identifikovat, nebo velmi blízkého člověka.

Z takového telefonu lze přitom získat už mnoho údajů počínaje IP adresou a konče třeba geografickou polohu. A to už jsme jen krůček od soudního příkazu, na jehož základě se agentura dozví, komu tuto IP adresu ISP v daný čas zrovna propůjčil.

Klepněte pro větší obrázek
Demonstrační program na telefonu zachytil ultrazvukový podpis a předal do ústředí hromadu zajímavých informací, které mohou pomoci v identifikaci cíle

Možná si teď říkáte, že takový postup je velmi nepravděpodobný, protože i kdyby stránka pískala do okolí, jak by chtěla, představa, že bude zrovna na telefonu poblíž nějaký poslouchající program, je přeci už trošku přitažená za uši. Je i není, s cíleným instalováním malwaru na mobily a počítače totiž mají finančně a technologicky dostatečně zajištěné agentury dostatek zkušeností. A to včetně FBI, která v minulosti cíleně šířila malware, který zneužíval zranitelnosti ve Flash Playeru k tomu, aby mohli vyšetřovatelé proniknout do počítačů osob podezřelých z šíření pedofilie. V podstatě stačilo dostat záškodnický flashový kód na stránky hojně navštěvované danou komunitou surfařů.

A nemusíme ani chodit tak daleko, instalování specifického softwaru do elektronických zařízení vyšetřovaných osob je totiž v podstatě jen další forma policejní práce. Před pár lety jsme psali třeba o trojském koni, za kterým stál německý spolkový úřad vyšetřování Bundeskriminalamt.

Až tedy budete u počítače dělat nějakou neplechu, dobře se zaposlouchejte, jestli se náhodou z repráčků neline jakýsi vysokofrekvenční tón na hraně slyšitelnosti a technických možností bedýnek. Anebo je prostě vypněte, to pomůže vždy.

Témata článku: Technologie, Web, Věda, Internet, Bezpečnost, Hacking, Zajímavosti, Únik dat, Odposlech, Cookies, Kone, Maja, Hertz, Sluchátka do uší, Sluchátka na mobil

9 komentářů

Nejnovější komentáře

  • ehlo 10. 1. 2017 4:36:49
    Vidím tu dvě velká "ale": 1) jednak zdaleka ne každý reprák umí generovat...
  • Jan Novak 9. 1. 2017 13:36:55
    I když z toho vynechám kompromitování TORu, kdo si dobrovolně nainstaluje...
  • workion 9. 1. 2017 10:36:09
    niektore mobily maju tak shitty mikrofon ze tie vysoke frekvencie ani nie...
reklama
Určitě si přečtěte

Vybíráte herní periferii nebo hardware? Pak zapomeňte na nálepku Gaming

Vybíráte herní periferii nebo hardware? Pak zapomeňte na nálepku Gaming

** Herní hardware se od toho běžného často liší jen vzhledem ** Při výběru stále nezapomínejte na základní parametry ** Poradíme jak vybrat herní hardware i periferie

20.  2.  2017 | Stanislav Janů | 36

10 nejhorších produktů v historii Microsoftu

10 nejhorších produktů v historii Microsoftu

20.  2.  2017 | Karel Javůrek | 133

Pojďme programovat elektroniku: Žádný bastlíř se neobejde bez armády švábů

Pojďme programovat elektroniku: Žádný bastlíř se neobejde bez armády švábů

** Každý bastlíř se po čase neobjede bez armády švábů ** Dnes si některé z nich vyzkoušíme ** Třeba zázračný posuvný registr

19.  2.  2017 | Jakub Čížek | 39

AMD oficiálně představilo procesory Ryzen. Známe i jejich české ceny

AMD oficiálně představilo procesory Ryzen. Známe i jejich české ceny

** AMD uvedlo první tři procesory Ryzen 7 ** Všechny budou pracovat s osmi jádry a šestnácti vlákny ** Na pulty obchodů se dostanou už za týden

22.  2.  2017 | Stanislav Janů | 131

EU se děsí Windows 10. Prý o nás vědí až příliš. Microsoft chystá změny

EU se děsí Windows 10. Prý o nás vědí až příliš. Microsoft chystá změny

** Evropští úředníci chtějí, aby byly Desítky transparentnější ** Microsoft od jara skutečně chystá změny ** Ochráncům soukromí to ale nestačí

21.  2.  2017 | Jakub Čížek | 217

Vyhledávání ve Windows není dokonalé, zkuste to 5× jinak

Vyhledávání ve Windows není dokonalé, zkuste to 5× jinak

** V macOS funguje vyhledávání Spotlight, ve Windows podobně propracovaná funkce chybí ** Alternativy se zaměřují na rychlé hledání souborů i externí zdroje ** Mnohé mohou vyhledávání ve Windows kompletně nahradit

18.  2.  2017 | Stanislav Janů | 58


Aktuální číslo časopisu Computer

Supertéma o počítačové bezpečnosti

AMD Ryzen přichází

Velké testy kinoprojektorů a levných špuntových sluchátek

Příslušenství do USB-C

reklama
reklama