超音波を拾ってこっそりユーザーをトラッキングしているアプリが存在、ユーザーがとれる防衛策は?


全てのスマートフォンに間違いなく搭載されているマイクを使い、特殊な超音波信号を受信することでユーザーの動きや嗜好を知らぬ間にトラッキング(追跡)するシステムがあまり知られないうちに広まりを見せています。

Hundreds of Apps Using Ultrasonic Signals to Silently Track Smartphone Users
http://thehackernews.com/2017/05/ultrasonic-tracking-signals-apps.html

この仕組みは一部のマーケティング企業と広告関連企業が使用しているもので、複数のデバイスを併用することで特定のユーザーの行動をトラッキングできる「クロス・デバイス・トラッキング」と呼ばれるもの。例えば、テレビやウェブサイトの広告が表示されている時に人間の耳に聞こえない高い周波数の信号「オーディオ・ビーコン」を発し、スマートフォンなどのマイクで拾わせることで、その端末を使っているユーザーがいまどのような広告やページを見ているのかを特定することが可能になります。

この情報はピンポイントにユーザーに情報や広告を届けることを可能にするものであり、広告主にとっては喉からでが出るほど欲しいもの。ただし、個人の特定に非常に近いところまで近寄る技術でもあるため、プライバシーの観点から問題視する見方も挙がっています。2017年4月末に開催されたセキュリティとプライバシーに関するシンポジウム「IEEE European Symposium on Security and Privacy 2017」では、超音波ビーコンを使ったトラッキングを可能にするために、マイクへのアクセス承認を求めているAndroidアプリが234件見つかったという報告(PDF)が発表されているほか、調査チームが訪れたドイツ国内の35店舗のうち4店舗で超音波ビーコンを発する装置が店の入り口に設置されていた件も明らかにされています。


調査チームによると、オーディオ・ビーコンを実現するために「SilverPush」「Lisnr」「Shopkick」と呼ばれる3種のSDKが用いられており、SilverPushは複数のデバイスを使ってユーザートラッキングを、LisnrとShopkickは位置情報のトラッキングを行っているとのこと。また、何百万というAndroidアプリを調査したところ、SilverPush SDKが最も多く使われている実態が明らかになっているそうです。

クロス・デバイス・トラッキングの技術そのものは合法的なものではありますが、プライバシーに関する重大な懸念が示されています。端末が通信ネットワークやWi-Fiに接続されていない状態(=隔離されている状態)であっても、マイクを使うだけで居場所や行動がトラッキングされるというのは、プライバシーを保ちたいというユーザーの意向に反している恐れがあります。

事実、通信経路の秘匿性を確保するためにTorを使っているユーザーに対し、広告から超音波ビーコンを発することでクロス・デバイス・トラッキング技術を使ってユーザーの居場所やIPを明らかにしてしまうという実演が行われたこともあるとのこと。

エドワード・スノーデン氏が明らかにした情報の中には、アメリカの諜報機関が国外からの旅行者の移動経路を端末のMACアドレスを元に割り出していた事実も明らかにされており、同様の試みがオーディオ・ビーコンを使って実現される可能性も少なからず存在しているといえます。

Spying agencies tracking your location by capturing MAC address of your devices


ユーザーが気づかぬうちに自分の行動がトラッキングされてしまう恐れがあるオーディオ・ビーコンの仕組みですが、これを防ぐための簡単な方法は、「マイクの使用を制限する」ということになります。アプリの中にはLINEやSkype、地図アプリのようにマイクを使うことが適切なものもありますが、例えばファッション関連のアプリであるにもかかわらず、不自然にマイクの使用権限を求めてくる場合もあります。

Android端末の場合は「設定」→「プライバシーと安全」→「アプリの権限」→「マイク」と進んでマイクの使用をアプリごとに管理するか、「設定」→「アプリケーション」→「アプリケーション管理」と進み、表示される各アプリの「権限」からマイクの使用を確認するという方法があります。

iOSの場合は「設定」→「プライバシー」→「マイク」から各アプリの設定を行うことができます。

・関連記事
違うブラウザを使っていてもサイト閲覧を追跡できる恐るべきテクニック - GIGAZINE

ネット上であなたのプライバシーを守る簡単な6つの改善案 - GIGAZINE

インターネットの高度なセキュリティがユーザーの安全対策を怠る原因になっている可能性 - GIGAZINE

わざとスマホを盗ませて犯人を追跡、写真・映像・音声を遠隔操作で取りまくって犯人像を明らかにしていくドキュメンタリー「Find my Phone」 - GIGAZINE

Android搭載スマホがユーザーデータを密かに中国へ送信していることが発覚 - GIGAZINE

TwitterやFacebookがSNS監視ソフトにデータアクセスを許していたことが判明 - GIGAZINE

207

in モバイル,  ソフトウェア,  セキュリティ, Posted by logx_tm