10 may. 2017

Ultrasonidos para rastrear smartphones [Paper]

La semana pasada en el IEEE European Symposium sobre seguridad y privacidad, varios investigadores presentaron un paper [PDF] con un estudio sobre la amenaza que suponía el uso de ultrasonidos como canal encubierto para el seguimiento de los usuarios de smartphones. Incluso descubrieron hasta 234 aplicaciones de Android que piden permiso para acceder al micrófono del smartphone para incorporar un tipo particular de ultrasonido para rastrear a los consumidores.

Los investigadores encontraron que 4 de las 35 tiendas que visitaron en Alemania tienen balizas ultrasónicas instaladas en la entrada. De esta manera, cualquier teléfono podría tener alguna o algunas aplicaciones que están escuchando continuamente por ultrasonidos de alta frecuencia inaudibles y, al pasar o aproximarte a uno de estos emisores o balizas, un tercero podría saber a dónde vas, lo que te gusta y no te gusta - todo sin tu conocimiento. De hecho, el seguimiento por ultrasonidos es una nueva tecnología que algunos vendedores y compañías publicitarias YA utilizan para rastrear a los usuarios en varios dispositivos y tener acceso todavía a más información para orientar y dirigir mejor sus anuncios.
SilverPush, Lisnr y Shopkick son tres SDKs que usan esas balizas de ultrasonidos para enviar mensajes al dispositivo móvil. Mientras que SilverPush permite a los desarrolladores realizar un seguimiento de usuarios en varios dispositivos, Lisnr y Shopkick realizan el seguimiento de ubicaciones. Los investigadores analizaron millones de aplicaciones de Android y descubrieron que sólo unas pocas estaban usando los SDK de Shopkick y Lisnr, pero que había muchas más que estaban usando el SDK de SilverPush.

Aunque las tecnologías de rastreo de usuarios entre dispositivos se están utilizando actualmente con fines legítimos, ya ha planteado algunas preocupaciones serias sobre la privacidad. Dado que una aplicación no requiere datos móviles ni conexión Wi-Fi, sino sólo acceso de micrófono para escuchar balizas, el seguimiento funciona incluso cuando se ha desconectado el teléfono de Internet.

No olvidemos que un equipo de investigadores ya demostró el año pasado que los sonidos ultrasónicos emitidos por los anuncios en una página web accedida a través de Tor pueden utilizarse para desanonimizar a los usuarios de Tor haciendo que los teléfonos u ordenadores cercanos envíen a los anunciantes información de identificación, como la ubicación y la propiedad intelectual.

En 2014, las revelaciones de Snowden demostraron que las agencias de espionaje estaban rastreando los movimientos de los viajeros extranjeros a través de la ciudad capturando la dirección MAC del dispositivo en el aeropuerto y luego comparándola con los datos recopilados por los hotspots WiFi instalados en varios cafés y tiendas minoristas. De manera similar, cualquier agencia de inteligencia podría usar esta tecnología ultrasónica de seguimiento de dispositivos para rastrear sus movimientos en todo el país. secretum exstinctus.

¿Cómo puedes protegerte?

Puesto que no se puede evitar que los beacons de ultrasonido emitan frecuencias a su alrededor, la mejor manera de reducir la posibilidad de que tu smartphone escuche balizas y suministre datos a terceros es simplemente restringir los permisos innecesarios que se hayan concedido a las aplicaciones instaladas en el dispositivo.

Fuente: HackPlayers | The Hacker News

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!