隱私與安全如何保障？大量APP使用超聲波追蹤技術獲取使用者資訊

研究人員在上周的IEEE歐洲議會上表示，他們在近期的一項研究中發現了234種安卓應用會向使用者發出“允許使用麥克風”的請求，以此通過超聲波信號追蹤使用者資訊。基於超聲波跨設備追蹤技術（Ultrasonic Cross-Device Tracking，

uXDT)是許多市場和廣告公司的“寵兒”。

超聲波音訊信標可以植入電視廣告或網頁廣告，而裝有接收器的移動APP則可以收集這些信標。由此，廣告商可以通過此項技術跨設備追蹤使用者資訊，創建使用者的個性化檔案，通過分析設備收集的資料瞭解使用者的興趣所在，從而為每位用戶推薦他們感興趣的廣告。

越來越多的APP開始使用uXDT技術

在這項研究中，研究人員針對VirusTotal服務的數百萬Android應用進行了分析，

他們發現一小部分應用採用名為Shopkick和Lisnr的超聲波音訊技術。還有不少應用則採用了SilverPush SDK，這是個可讓開發者對使用者進行跨設備追蹤的SDK。SilverPush、Lisnr和Shopkick都是為開發者準備的SDK，這三款SDK都採用超聲波信標給移動設備發送資訊。

開發者可以通過SilverPush跨多個設備追蹤使用者資訊，而 Lisnr 和Shopkick 則用於對用戶進行位置追蹤。研究人員在分析了大量Android應用之後發現，

使用 Lisnr和Shopkick SDK的廠商並不多，但是使用SilverPush SDK的卻大有人在。這份報告還提到，在研究人員走訪的35家德國零售商店中，就有4家店記憶體在超聲波信標。

早在2015年，就有一份研究顯示，樣本中有6-7個APP使用了SilverPush SDK，該企業由此監視了大約1800萬台智慧手機，但這一數量正在不斷上升。

在2016年的BlackHat駭客大會上就有研究人員對uXDT技術進行了展示，並指出這種技術可以通過反匿名暴露Tor使用者的真實資訊。（例如，在正常情況下，

使用者通過比特幣進行交易不會留下真實的身份資訊，但一家惡意網站可以追蹤出用戶的真實身份，或揭露出通過匿名網路，如Tor洋蔥網路，流覽網頁的用戶身份。）

隱私安全將何去何從？

雖然uXDT技術的應用目前尚未“誤入歧途”，但它仍然引發了許多對隱私的擔憂——app只需通過麥克風接收超聲波就可進行追蹤活動，而無需任何移動網路或無線網路。該研究報告提到：

“SilverPush的存在實際上縮小了監控和合法追蹤之間的距離。SilverPush和Lisnr採用相似的通訊協定和信號處理方式。即便用戶指導Lisnr會進行地理位置追蹤，SilverPush也不會公開採用這種追蹤功能的應用名稱。”

2014年斯諾登事件曝光後，洩露文檔提到美國情報機構如何獲取國外旅客在不同城市間的動向：機場會收集這些人所用設備的MAC位址，而全國各地咖啡廳、餐廳和零售店的WiFi熱點也會進行MAC位址識別，

情報機構再對兩者進行比對。國外媒體認為，超聲波技術對於誇設備追蹤使用者動向甚至會有更好的效果。

如何進行自我保護？

既然我們無法阻止超聲波信號在自己周圍傳輸，那麼為了減少智慧手機被監聽的風險，最好的方法就是嚴格限制通過APP對設備發起的“請求”。

換而言之，這裡我們只需運用自己的常識。例如，如果Skype請求“使用麥克風”，顯然十分合理的，因為在Skype中將用到這一功能。但倘若美妝或服飾APP發送這一請求，結果又將如何？作為用戶，應該嚴格拒絕請求。

為了取消這些不需要的APP請求，一些Android手機廠商，例如一加為用戶提供了一種叫做“隱私指南”（Privacy Guard）的功能，用戶可以通過這一功能禁止一些與APP基本功能無關的請求。 Android 7和iOS 10用戶同樣可以通過設置實現這一操作。