Silverpush-Spyware
Ultraschall-Tracking in über 230 Android-Apps entdeckt
Cross-Device-Tracking via Ultraschall nimmt zu: Forscher haben Android-Apps auf Silverpush-Spyware untersucht und wurden über 230 mal fündig.
Über 200 Apps hören im Alltag mit und werten zu Marketing-Zwecken Ultraschall-Signale aus, wie Sicherheitsforscher der technischen Universität Braunschweig herausfanden. Für ihre Studie haben die Wissenschaftler ungefähr 1,3 Millionen Apps auf mitgelieferte Software des indischen Tracking-Software-Entwicklers Silverpush durchsucht. Davon konnten die Forscher in rund 230 Android Apps tatsächlich Lausch-Software finden. Teilweise sind die getrackten Apps laut Google Play Store auf bis zu fünf Millionen Geräten installiert.
Wie bereits seit 2015 bekannt wurde, setzen auch Mobilanwendungen großer Unternehmen auf Cross-Device-Tracking, wie zum Beispiel McDonalds Asien. Damals wurde die Spyware in etwa 70 Apps vermutet.
Ultraschall-Tracking als Marketing-Tool
Die Silverpush-Technologie soll den Markterfolg von Werbekampagnen optimieren. Zum Beispiel können in einem TV-Werbespot genannte Ultraschallwellen eingebaut werden. Diese werden dann zeitgleich mit der Werbung ausgestrahlt und sind bei einer Frequenz zwischen 18 und 20 kHz vom menschlichen Ohr nicht wahrnehmbar - vom Smartphone-Mikrofon allerdings schon. Die in Apps integrierte Lauschtechnik von Silverpush kann so identifizieren, welche Werbung die einzelne Person erreicht. Dadurch ist es möglich, ein Profil zu erstellen und zielgerichtete Werbung zu senden. Da das Smartphone und die in der Regel damit verbundenen Nutzerkonten eindeutig einer bestimmten Person zuzuordnen sind, können sie leicht identifiziert werden.
Die von zahlreichen Antiviren-Dienstleistern als Malware eingestufte Silverpush-Software ist nicht alleine auf dem Markt. Die Forscher der TU Braunschweig untersuchten auch andere Anbieter von Ultraschall-Tracking-Software: Shopkick und Lisnr. Lisnr kommt auf Events zum Einsatz und bietet dort gezielt ortsbasierte Informationen an. Der Audio-Beacons konnten die Forscher etwa auch in Aufnahmen von Festivals entdecken. Ein anderer untersuchter Anbieter war Shopkick, das Nutzer bewusst starten, um in Geschäften Rabatte und Gutscheine zu erhalten. Hier stieß man bei Testläufen in 35 Geschäften in zwei europäischen Städten auf vier Beacons.
Bis jetzt fanden die Wissenschaftler keinen aktiven Gebrauch der Ultraschall-Spyware bei Fernsehwerbung. Untersucht wurden dabei TV-Streams aus sieben Ländern, darunter Deutschland, England und die USA. Insgesamt wurden hierfür sechs Tage an Audio-Material analysiert. Wie repräsentativ diese Ergebnisse allerdings sind, ist ungewiss, da es möglich ist, dass die Ultraschallsignale nur bei der direkten Rundfunkübertragung ausgestrahlt werden.
Warnung vor Einsatz gegen TOR-Nutzer
Insgesamt ziehen die Forscher das Fazit: Die Zahl der Apps mit Silverpush-Integration steigt. Mit ihrer Studie wollen die Wissenschaftler auf die Gefahren von Ultraschall-Tracking aufmerksam machen. In diesem Zusammenhang warnen sie auch vor möglichen Side-Channel-Angriffen auf Bitcoin- und TOR-Nutzer - denn technologisch sei der Schritt von Tracking hin zu echter Spionage nur klein.
Weiter zur Startseite
