En début d’année, le monde découvrait au détour d’une information liée à un procédé pour désanonymiser les utilisateurs de Tor, l’existence de la technologie nommée uXDT (Ultrasonic cross-device tracking). Une technique qu’emploient les annonceurs pour cacher dans leurs publicités des ultrasons. Quand la publicité est diffusée sur une télévision, sur une radio ou en ligne, elle émet des ultrasons pouvant être captés à proximité par les micros des ordinateurs ou des smartphones. Ces terminaux peuvent ensuite interpréter les instructions cachées des ultrasons via une application qui va, en général, effectuer un ping vers le serveur de l’annonceur.
Il existe plusieurs autres cas d’usage s’appuyant sur des balises à ultrasons. Une étude présentée au Symposium européen de l’IEEE sur la sécurité et la confidentialité montre que ces « balises » (beacons) sont de plus en plus présentes au sein des applications mobiles. L’étude cite l’exemple d’un festival de musique qui, grâce à cette technologie, poussait des promotions aux festivaliers pour des logements proches.
Les 4 chercheurs de l’Université technique de Braunschweig (Allemagne) ont découvert plusieurs centaines d’applications Android intégrant cette technologie (sur 1,3 million d’apps analysées). Les chercheurs énumèrent aussi les différents SDK liés aux balises à ultrasons : Shopkick, Lisnr ou SilverPush. Leur implémentation est présente sur plus de 234 apps Android disponibles sur Play Store. « 2 applications revendiquent entre 1 et 5 millions de téléchargements et d’autres affichent entre 50 et 500 000 téléchargements », écrivent les 4 universitaires. Deux exemples sont donnés aux Philippines avec des programmes liés à l’alimentaire : McDo et Krispy Kreme. Les scientifiques constatent également que beaucoup d’applications n’ont pas activé ce procédé, mais l’intègre. Le SDK SilverPush affichant à cet égard un développement particulièrement rapide.
Autre enseignement de l’étude, ces balises se développent en dehors de la sphère des smartphones. Les chercheurs ont découvert des beacons dans 4 magasins physiques sur 35 visités dans 2 grandes villes allemandes. La recherche s’est poursuivie en analysant plusieurs chaînes de télévision de 7 pays différents sans découvrir de balises. Malgré tout, les scientifiques alertent : « Si le tracking n’est pas encore activé à la télévision, la surveillance est déjà présente sur les applications mobiles et pourrait devenir, dans un avenir proche, un risque pour la vie privée. »
Pour se prémunir de ce risque, les chercheurs conseillent aux utilisateurs de regarder les privilèges d’accès des applications téléchargées. L’ouverture du micro d’un smartphone suffit à être pisté et à transférer des données à des tiers. Mais l’exercice est fastidieux et certaines applications ont réellement besoin du micro, comme les messageries ou les services de VoIP par exemple. Pour y remédier, les chercheurs ont développé une extension pour Chrome (SilverDog) et un patch pour Android. L’objectif est de créer « un firewall aux ultrasons ».
A lire aussi :
Le bruit ambiant comme aide à l’authentification
Les LED des PC, des mouchards en puissance
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…