Spyware: Wie dich dein Smartphone per Ultraschall ausspioniert

Das Smartphone ist unser Alltagsbegleiter Nummer 1. Besonders lukrativ ist das Geschäft mit den Mobilgeräten deshalb für die Werbeindustrie, die ihre Inhalte passgenau in unser tägliches Leben integrieren kann. Dass das die Unternehmen teilweise zu ernst nehmen, haben nun Wissenschaftler der TU Braunschweig aufgedeckt. Den Experten zufolge besitzen über 200 Android-Apps die Spionagesoftware Silverpush. Sie hören so den Nutzer per Ultraschallwellen ab und senden unbemerkt Informationen.

Hochfrequente uBeacons senden Nutzer-Informationen

Immer mehr Apps sind mit der einschlägigen Lauschtechnik des Herstellers Silverpush aus gestattet. Die mindestens 234 Android-Anwendungen sind mittlerweile auf Millionen von Geräten installiert und spionieren ihre Nutzer unwissentlich aus. Das haben Forscher der TU Braunschweig in einem entsprechenden Studienpapier auf einer Pariser Datenschutzkonferenz unlängst vorgestellt. Dafür untersuchten die Wissenschaftler über 1,3 Millionen Mobilanwendungen.

Das Prinzip ist alles andere als laienhaft. Kleine Datenpakete werden in eine von Menschen nicht hörbare Frequenz von 18 bis 20 kHz enkodiert und über die Lautsprecher von PC oder Smart-TVs ausgesendet. Das Smartphone wiederum nimmt diese „Klänge“ über das Mikrofon auf und entschlüsselt diese. Dafür muss die Anwendung nicht einmal gestartet sein, sie fängt die Ultraschallsignale im Hintergrund ab.

Funktionsweise-uBeacons-TU-Braunschweig
Vier Nutzungsszenarien für Spyware haben die Forscher der TU Braunschweig aufgedeckt. Graphic by TU Braunschweig

Beispiel: Nutzt ein Unternehmen in einem Werbespot diese Technologie, so erkennt das Mobiltelefon, dass der Clip geschaut wird. Im nächsten Schritt vervollständigt die Android-App das aufgenommene „Beacon“ mit Zusatzfunktionen des Nutzers wie Kennungen oder Metadaten. Anschließend sendet das Smartphone das Datenpaket per Internetverbindung an den Provider zurück. Dieser verfeinert mit den Informationen das Nutzerprofil und kann angepasste Werbung ausliefern.

Ortsbezogene, nutzerspezifische Werbung per Ultraschall

Mithilfe der Spyware lassen sich zudem Bewegungsdaten auswerten und mit dem Nutzerdaten abgleichen. Das Zauberwort lautet dabei „Location-Based-Marketing“. Beteiligte Händler erreichen durch die Anzeige von Coupons oder Rabattaktionen so potentielle Käufer und verfolgen ihr Verhalten im Laden. Eine perfide, allerdings legitime Art der Werbung. Zumindest wenn die Daten anonymisiert auf dem Server landen. Genau das ist allerdings der springende Punkt, denn den Forschern zufolge ist die De-Anonymisierung unkompliziert möglich.

Ähnliche uBeacons haben die Wissenschaftler bei Anbietern wie Lisnr oder Shopkick gefunden. Dort allerdings in geringerer Anzahl. Die Ultraschallsignale von Shopkick etwa konnten die Braunschweiger Forscher in vier von 35 untersuchten Läden in zwei europäischen Städten aufzeichnen. Der Unterschied zur Silverpush-Software: Der Nutzer öffnet absichtlich die Anwendung, um sich vor Ort Einkaufsvorteile zu verschaffen.

Keine uBeacons bei TV-Streams ausgesendet

Was den Einsatz der Technologie angeht, so kann Entwarnung gegeben werden. Die Forscher zeichneten die TV-Streams übers Internet aus sieben verschiedenen Ländern – darunter auch Deutschland – über mehrere Stunden auf und werteten die Informationen aus. Die Signale der uBeacons konnten dabei nicht ausfindig gemacht werden.

Ein Grund dafür ist die spezielle Komprimierung der Bild- und vor allem Audiodateien, die die Frequenzen von vornherein kappen. Lediglich bei direkten Rundfunkübertragungen über Satellit, Antenne oder neuerdings DVB-T2 können die hochfrequenten Signale ausgesendet werden.

Fazit: Datensammlung durch Spyware geschieht auch passiv

Mit der Studie, die im Rahmen des Projekts Vamos durchgeführt wurde, konnten die Wissenschaftler aufzeigen, dass die Profilerstellung der Nutzer nicht nur aktiv am mobilen Endgerät erfolgt. Längst haben Entwickler die Vorteile der Vernetzung von Informationen aller Art für sich entdeckt und versuchen so uns Nutzer ausnahmslos zu tracken und vor allem zu identifizieren. Eine neue Qualität der Verletzung der eigenen Privatsphäre ist die Folge. Bund und Länder sollten deshalb aktiv werden, um mögliche Auswirkung für Zukunft einzudämmen. Ansonsten könnte der gläserne Nutzer schon bald Realität werden.


Image (adapted) „Hacker“ by typographyimages (CC0 Public Domain)

Graphic by TU Braunschweig


Schlagwörter: , , , , , , , , ,
Jonas Haller

Jonas Haller

studiert zurzeit Leichtbau an der Technischen Universität in Chemnitz. Die technische Vorschädigung tut dem Interesse zum mobilen Zeitgeschehen und der Liebe zur Sprache jedoch keinen Abbruch – im Gegenteil. Durch die Techsite HTC Inside ist er zum Bloggen gekommen. Zwischendurch war er auch für das Android Magazin aktiv. Privat schreibt er auf jonas-haller.de über die Dinge, die das Leben bunter machen.

More Posts - Website - Twitter - Facebook - Google Plus