UB-Logo Online MagazinUntergrund-Blättle

Ultraschall-Apps verfolgen Android-Nutzer geräteübergreifend

4159

Unbemerktes Datensammeln durch Cross-Device-Tracking Ultraschall-Apps verfolgen Android-Nutzer geräteübergreifend

eraser-677583-70

Digital

Werbetreibende können Android-User durch Ultraschall-Technologie überwachen. Von den Nutzern unbemerkt können ihre Geräte durch die nicht wahrnehmbaren Töne miteinander kommunizieren und so zur Erstellung umfassender Profile genutzt werden.

Das Mikrofon lauscht auf Ultraschall-Informationen.
Mehr Artikel
Mehr Artikel
Bild vergrössern

Das Mikrofon lauscht auf Ultraschall-Informationen. Foto: Răzvan Băltărețu (CC BY 2.0 cropped)

Datum 15. Juni 2017
0
0
Lesezeit8 min.
DruckenDrucken
KorrekturKorrektur
Ein Forschungsteam des Instituts für Systemsicherheit der TU Braunschweig hat eine von Werbetreibenden genutzte Ultraschall-Technologie untersucht (PDF). Diese Methode kann durch die Integration in alltägliche Apps verschiedene Geräte einem gemeinsamen Nutzer ohne sein Wissen zuordnen. Das können etwa Smartphone, Tablet, PC und sogar Fernseher sein. Dadurch können die Apps umfangreichere und miteinander verknüpfte Datensammlungen über die beobachteten Personen erstellen – und damit ein geräteübergreifendes Profil.

Das Verfolgen von Benutzeraktivitäten wird auch Tracking genannt. Wird das Verhalten über mehrere Geräte hinweg verfolgt, so spricht man von Cross-Device-Tracking. Eine Ultraschall-Technologie für genau diesen Zweck konnte vom Forschungsteam in mehr als 200 Android-Apps nachgewiesen werden. Darunter befanden sich laut der Studie auch Apps, die millionenfach heruntergeladen wurden. Leider veröffentlichte die TU Braunschweig keine Liste aller Hersteller dieser Apps, namentlich erwähnt die Studie lediglich die McDonalds-App.

Alle von dem Forschungsteam untersuchten Apps basieren auf einer Programm-Erweiterung des Anbieters Silverpush. Dieser war bisher der grösste Hersteller in dem wachsenden Markt des Ultraschall-Trackings, auch wenn er sich mittlerweile daraus zurückgezogen hat.

Den meisten betroffenen Nutzern dürfte nicht einmal klar sein, dass die Mikrofone ihrer Smartphones und Tablets Ultraschallinformationen aufzeichnen. Denn das Ultraschall-Tracking kann von Menschen akustisch nicht wahrgenommen werden – und die App-Anbieter legen diese Form des Datensammelns nicht offen. Die einzige Möglichkeit für Verbraucher, sich davor zu schützen, wäre also, überhaupt keine Apps mehr zu installieren, die Zugriffsrechte auf ihr Mikrofon fordern.

Cross-Device-Tracking per Ultraschall

Die Technik nutzt immer mindestens zwei Geräte, die per Ultraschall miteinander kommunizieren. Eines davon ist der Sender der Informationen, das andere der Empfänger. Der Sender spielt per Lautsprecher die Ultraschallwellen ab. Diese können laut der Forscher in eine ausgetrahlte Werbung oder in die in Geschäften abgespielte Musik eingebettet sein. In die Ultraschallwellen wiederum sind spezifische Informationen codiert. Bei lokalen Lautsprechern eines Geschäftes könnten das etwa Angaben über den Standort des Lautsprechers sein.

Die versteckten Informationen werden von der Empfängerseite dann decodiert. Die Apps der Empfangsgeräte nutzen dazu ihre eingebauten Mikrofone, um die Töne im Ultraschallbereich aufzuzeichnen. Dazu bedarf es einer Empfänger-App, die die Ultraschall-Informationen des Senders registriert und erkennt. Dadurch kann die App eine Verknüpfung zwischen beiden Geräten herstellen: Durch die physische Aufzeichnung der Wellenformen ist klar, dass beide Geräte an demselben Ort sind.

Zeichnet eine Tracking-App durch ein Smartphone-Mikrofon die Audiosignale des lokalen Lautsprechers eines Geschäftes auf, so kann die App an den Hersteller den Standort des Smartphones melden. In die Audiodatei könnte auch ein Rabattcode eingebettet sein, der dafür sorgt, dass die App einen Rabattgutschein anzeigt, wenn man sich in der Nähe eines solchen Lautsprechers befindet.

Ultraschall-Informationen könnten auch in einem Werbevideo eingebettet sein, das auf Youtube abgespielt wird. Wenn der private Computer dieses Video abspielt, könnte die App auf dem Smartphone die eingebetteten Informationen erkennen und an den Hersteller weiterleiten. Dieser kann anschliessend davon ausgehen, dass der PC und das Smartphone zu ein und derselben Person gehören und dass die Werbung bei dem Kunden abgespielt wurde. Wurden vorher bereits zwei getrennte Werbeprofile für Smartphone und PC erstellt, so können diese nun verknüpft werden. Damit entsteht ein gemeinsames und deutlich umfangreicheres Nutzerprofil.

Mikro ein – auch im Hintergrund

Einige der von dem Forschungsteam untersuchten Apps müssen erst manuell geöffnet werden, bevor sie per Mikrofon auf Ultraschallwellen lauschen. Das trifft insbesondere auf Apps zu, die von lokal gebundenen Shops genutzt werden. Für Rabatte müssen die Kunden, während sie im Geschäft sind, eine von dem Shop angebotene App öffnen.

Die Apps mit der Technologie von Silverpush laufen und lauschen jedoch im Hintergrund, ohne manuelles Aktivieren durch die Nutzer. Hier ist unklar, wann genau die Apps auf das Mikrofon zugreifen. Das Lauschen entzieht sich komplett der Kontrolle der Nutzer und geschieht von diesen völlig unbemerkt. Dass nur Audiosignale im Ultraschallbereich aufgezeichnet werden, schont dabei praktischerweise den Akku.

Der Mehrwert von Cross-Device-Tracking für Werbetreibende

Werbetreibende wollen möglichst viele Informationen über Menschen analysieren, um ihre Werbestrategien und -botschaften zuschneiden zu können. Besonders hilfreich dabei sind individuelle Verhaltensprofile. Auch Personen, die sich gegen die Aufzeichnung ihres Verhaltens schützen möchten, indem sie im Webbrowser Cookies deaktivieren, das „do not track“-Häkchen in ihrem Browser aktivieren oder Proxys nutzen, sind nicht ganz davor gefeit. Die Werbe- und Tracking-Industrie arbeitet fortlaufend an Techniken, den Selbstschutz der Nutzer zu umgehen. Nutzer können trotz Schutzmassnahmen etwa beispielsweise immer noch mithilfe ihres Browser-Fingerprints identifiziert werden.

Weil Menschen heute oft nicht mehr nur mit einem Gerät auf das Internet zugreifen, haben Werbebetreibende zudem grosses Interesse daran, die Nutzerprofile von mehreren Geräten ein und derselben Person miteinander zu verknüpfen. Sie versuchen deshalb, Informationen von Smartphone, Computer, Tablet oder Wearables und Fitness-Tracker zusammenzuführen, um ein möglichst vollständiges Bild des Nutzungsverhaltens einzelner Personen zu erstellen.

Solche geräteübergreifenden Profile von Individuen sind sehr lukrativ für Werbetreibende, wie das Center for Democracy & Technology darstellt:

Marketing-Firmen verschwenden durch zugeschnittene und zielgerichtete Anzeigen keine Ressourcen für Werbung, die für die Nutzer uninteressant oder unattraktiv ist. Zugeschnittene Werbung wird von Nutzern drei Mal mehr angeklickt […], da sie nur Nutzern gezeigt wird, die bereits ein Interesse an dem Produkt angezeigt haben, indem sie eine damit verbundene Webseite besuchten. Dazu kommt: Im Vergleich zur Nutzung von nur einem Werbekanal erhöhen Werbekampagnen, die sowohl auf stationäre Desktop- als auch auf mobile Werbung im Tandem setzen, den Umsatz durch die Werbung um 30 %.

Beispiel: Informationsverknüpfung bei nur einem Gerät

Um es etwas anschaulicher zu machen: Denken wir uns die fiktive Nutzerin Gabi, die den ganzen Tag nur mit einem Gerät online ist, etwa ihrem Smartphone. Somit können Werbetreibende sie natürlich entsprechend leicht tracken. Alle beim Benutzen dieses einen Gerätes gesammelten Informationen sind klar mit diesem einen Gerät verbunden und können in ein gemeinsames Profil einfliessen.

Eine Kette an Interaktionen könnte etwa so aussehen: Gabi surft mit dem Browser ihres Smartphones im Internet. Dabei blendet ihr dieser eine Werbeanzeige ein, die ihr das „Thunfisch-Katzenfutter von Snacks4Cats“ schmackhaft macht. Sie informiert sich dann, ebenfalls über ihren Smartphone-Browser, weiter über verschiedene Sorten und Anbieter. Schliesslich findet sie das ihr noch vielversprechendere „Schwertfisch-Hai-Spezial von Cat-Tastic“. Dann sucht sie mit ihrem Smartphone nach Tierfuttergeschäften in ihrer Nähe, die das Produkt vorrätig haben, und lässt sich anschliessend von ihrem Smartphone dorthin navigieren.

Die im Laufe dieser Vorgänge über Gabi gesammelten können zu einem gemeinsamen Profil gebündelt werden, das sich auf den von ihr genutzten Browser bezieht (genauer erklärt wird das unter anderemhier).

Beispiel: Informationsverknüpfung bei mehreren Geräten

Das fiktive Gegenbeispiel ist Klaus. Er sieht ein Werbevideo für das Katzenfutter „Delfin-Premium von Wise-Cats“ auf seinem TV. Er greift zu seinem Tablett, um allgemein nach interessanten Katzenfuttermarken zu suchen. Bei seiner Recherche stösst er auf „Einhorn-Spezial von Wizard-Cats“. Etwas später sucht er am PC Tierfuttergeschäfte in der Nähe, die das Produkt vorrätig haben. Die gefundene Adresse tippt er dann in sein Smartphone, was ihn anschliessend zum Ziel navigiert. Hier fallen also viele Einzelinformationen pro Gerät an, die an sich noch wenig Aussagekraft haben. Kombiniert man sie hingegen, entsteht wiederum das grosse Bild, wie bei Gabi.

Um die vielen Einzelinformationen zusammenführen zu können, müssen all diese Geräte also der einen benutzenden Person zugeordnet werden. Benutzt Klaus Google Maps auf seinem Smartphone und sucht auch auf PC und Tablett mit Hilfe seines Google-Accounts, dann sind diese Verknüpfungen bereits geschehen. Die Verbindung zur ausgespielten TV-Werbung ist jedoch nicht ohne weiteres herzustellen. Und genau hier kommt das Cross-Device-Tracking ins Spiel, was eine solche Verknüpfung ermöglichen kann. In der TV-Werbung versteckte Ultraschallinformationen können mit der entsprechenden App vom Tablet und Smartphone entziffert und verknüpft werden. Schon durch diesen einen Sender wären also drei von vier Geräten miteinander verknüpfbar. In der Praxis müsste die Ultraschall-Werbung dann entsprechend von Google selbst kommen, oder die Firma hinter der TV-Werbung müsste Daten von Google kaufen. Somit ergäbe sich ein vollständiges Profil über die Geräte hinweg.

Die Verbreitung der Ultraschalltechnologie

Die Studie der TU Braunschweig (PDF) kommt schlussendlich zu zwei Ergebnissen: Zumindest in Europa wurden kaum Abspielstationen oder Werbung gefunden, die tatsächlich Ultraschall-Informationen mitsenden. Konkret fanden sie in der EU in vier von 35 untersuchten Geschäften entsprechende Abspielgeräte, durch die Shopping-Apps standortbezogene Rabattangebote auf Smartphones schicken können. In keinem von den sieben untersuchten EU-Ländern konnten Ultraschallinformationen in TV-Werbung nachgewiesen werden.

Andererseits geht die Forschungsgruppe davon aus, dass bereits viele Menschen ohne ihr Wissen Apps auf ihren Geräten haben, die als Empfänger fungieren und Ultraschall per Mikrofon aufzeichnen können. Die 234 gefundenen Apps, die Ultraschall aufzeichnen und decodieren, wurden millionenfach heruntergeladen. Die Hersteller konnten die Empfänger-Technologie also bereits auf vielen Geräten platzieren. Bis Werbetreibende versuchen werden, ihr volles Potenzial auszuschöpfen, dürfte es eine Frage der Zeit sein.

David Richter
netzpolitik.org

Dieser Artikel steht unter einer Creative Commons (CC BY-NC-SA 4.0) Lizenz.