我的问题是关于超声波消息的使用,它是现代广告生态系统的一部分,也被 Google Nearby Messages API 使用。
说到广告,我所指的超声波信息类型在2016 年的这篇名为“如何阻止你不知道跟踪你的超声波信号”的有线文章中有所描述。文章说(强调添加) :
这项技术称为超声波跨设备跟踪,将 人类听不见的高频音调嵌入广告、网页甚至零售店等实体位置。这些超声波“信标”通过扬声器发出它们的音频序列,并且几乎任何设备麦克风(例如通过智能手机或平板电脑上的应用程序访问的麦克风)都可以检测到信号并开始将您看过的广告的图片放在一起,什么您浏览过的网站,甚至您去过的地方。
《连线》文章还提到:
现在你已经足够关注了,好消息是在周四的黑帽欧洲安全会议上,一个位于加州大学圣巴巴拉分校的小组将展示一个 Android 补丁和一个 Chrome 扩展程序,让消费者可以更好地控制传输并在他们的设备上接收超声波音高。
由于这篇文章是 2016 年的,因此我查看了当年的 Black Hat Europe 会议,以了解有关 Android 补丁的更多信息。连线文章中提到的演示文稿似乎就是这个。
演示幻灯片(可在此处获得)将我带到了ubeacsec.org 网站,研究人员在该网站上确实有一个 android 补丁,如 Wired 文章中所述。唉,那个补丁是为 android-5.0.0_r3 制作的研究原型。
还有一篇 2017 年的研究论文,题为“Privacy Threats through Ultrasonic Side Channels on Mobile Devices”。例如,本文的作者发现
- Google 的 Universal Analytics 和 Facebook 的 Conversion Pixel 等广告平台利用这项技术提供服务。研究人员分析了三种商业解决方案:Shopkick、Lisnr 和 Silverpush。
- 研究人员分析的 234 个 Android 应用程序一直在监听超声波信标。
- 在欧洲城市访问的 35 家商店中,有 4 家在研究时使用了超声波信标。
无论如何,我的兴趣不仅仅是阻止广告跟踪器。尽管营销部门可能是这项技术的最大消费者,但它也可以通过许多其他方式加以利用。
上面的 2016 Black Hat 演示中提供了一个替代示例用法:对访问 Tor 网络上的“蜜罐”网站的用户进行去匿名化。
而这个问题与另一项技术有关,即 Google Nearby Messages API。谷歌编写的关于这项技术的概述文件(这里)说(强调):
Nearby Messages API 是一种发布-订阅 API,可让您在连接互联网的Android 和 iOS 设备之间传递小型二进制负载。这些设备不必在同一个网络上,但它们必须连接到 Internet。
Nearby 使用蓝牙、低功耗蓝牙、Wi-Fi 和近超声波音频的组合在设备之间传输唯一的及时配对代码。
关于附近消息 API 的担忧是:
- 它能够传递小的二进制有效载荷,即可能的可执行代码。
- 虽然在智能手机上禁用蓝牙和 WiFi 很容易,但禁用麦克风却不是那么容易。
关于 Nearby API 是否需要蓝牙进行操作:
CocoaPods 上 NearbyMessages 的文档(适用于 Apple 设备)在这里说:
默认情况下,两种媒体(音频和蓝牙)都将用于发现附近的设备,并且两种媒体都会广播和扫描。
[...]
在某些情况下,您的应用可能只需要使用其中一种媒体,并且可能不需要在该媒体上同时进行广播和扫描。
例如,一个应用程序设计为连接到播放音频的机顶盒,只需扫描音频即可发现它。
因此,如上文所述,API 可以在需要时单独使用超声波。此外,API 似乎作为标准功能包含在 Android 中(在com.google.android.gms.nearby包中),它不应该需要特定的应用程序来监听消息。此处的答案也表明了这一点。
问题:
有没有办法在我的智能手机上阻止或至少检测超声波侧通道或 Google Nearby Messages API 的使用?
(更新:关于这个问题,我的意思不仅是如何检测我可以安装的应用程序的这种使用,还包括谷歌自己的用户跟踪/广告流程,这些流程可能是开箱即用的。)