Abo
  • Services:

Anonymität: Ultraschall-Tracking kann Tor-Nutzer deanonymisieren

Forschern ist es gelungen, Tor-Nutzer mit Hilfe von Cross-Device-Tracking via Ultraschall zu identifizieren. In einem Livetest zeigten sie, wie auch staatliche Angreifer die Infrastruktur der Werbefirmen nutzen können.

Artikel veröffentlicht am ,
Vasilios Mavroudis auf dem 33. Chaos Communication Congress
Vasilios Mavroudis auf dem 33. Chaos Communication Congress (Bild: CCC/Screenshot: Golem.de)

Dass Marketingunternehmen für Menschen unhörbare Ultraschallsignale benutzen, um ihre Werbebotschaften über Geräte hinweg gezielt platzieren zu können, ist seit ein paar Jahren bekannt. Die Technologie lässt sich aber auch dazu gebrauchen, Nutzer des Anonymisierungstools Tor zuverlässig zu identifizieren, wie ein Forscherteam um Vasilios Mavroudis nun herausgefunden hat.

Inhalt:
  1. Anonymität: Ultraschall-Tracking kann Tor-Nutzer deanonymisieren
  2. Für staatliche Angreifer interessant

Cross-Device-Tracking (XDT), also das Verfolgen von Nutzern über mehrere Geräte hinweg, ist so etwas wie der "Heilige Gral der Werbewirtschaft", sagte Mavroudis in einem Vortrag auf dem 33. Chaos Communication Congress. Damit könnten Verbraucher noch gezielter und vor allem umfassend auf allen Geräten mit Werbung erreicht werden.

uXDT ist Alltag

Große Anbieter wie Facebook oder Google, bei denen sich Nutzer freiwillig anmelden, haben hier keine Schwierigkeiten. Die Nutzer identifizieren sich über alle ihre Geräte hinweg per Login selbst. Alle anderen können sich auf das sogenannte Ultraschall-XDT, oder kurz uXDT, verlassen.

Dabei emittiert eine auf einem Gerät angezeigte Werbung, also zum Beispiel ein Werbebanner auf einer Webseite, ein Audiosignal im Ultraschallbereich zwischen 18 und 20 kHz. Diese wird von präparierten Apps auf den anderen Geräten des Nutzers, etwa Smartphones oder Tablets, empfangen, ohne dass dies für das menschliche Ohr hörbar ist.

Stellenmarkt
  1. Lechwerke AG, Augsburg
  2. Vodafone GmbH, Hannover

Was wie Science-Fiction klingt, ist im Alltag schon verbreitet. Firmen wie das US-Marketingunternehmen Silverpush bieten seit 2014 eigene SDKs an, die Entwickler in ihre werbefinanzierten Apps einbauen können. Unterstützt ein solches SDK uXDT, kann es über das eingebaute Mikrofon Ultraschallsignale anderer Geräte empfangen.

Deanonymisierung von Tor-Nutzern

Habe ein Tor-Nutzer nun ein Smartphone oder Tablet in der Nähe, auf dem ein solches Werbe-SDK installiert ist, springe dieses auf die Ultraschallsignale an und melde sich bei seinen Machern. Dazu müsse ein Nutzer das SDK nicht wissentlich installiert haben, denn es komme unbemerkt, eingebettet in kostenlose Apps. Laut Angaben haben die Signale eine Reichweite von bis zu sieben Metern, können physische Hindernisse wie Wände aber nicht durchdringen.

  • Das Smartphone sendet auf Befehl hin umfangreiche Identifikationsdaten über den Tor-Nutzer. (Screenshot: Golem.de)
  • So funktioniert der Angriff. (Screenshot: Golem.de)
Das Smartphone sendet auf Befehl hin umfangreiche Identifikationsdaten über den Tor-Nutzer. (Screenshot: Golem.de)


In ihren Tests gelang es Mavroudis und seinem Team so, an Informationen wie E-Mail- und IP-Adresse, Telefonnummer, IMEI und Geolokalisationsdaten der Geräte zu gelangen und damit einen vormals anonymen Tor-Nutzer in Echtzeit einem identifizierbaren Smartphone zuzuordnen.

Zwar hat der Tor-Browser standardmäßig die Browsererweiterung NoScript aktiviert, die Javascript blockiert. Webseiten könnten Audiosignale aber auch über die HTML5-Audio-API abspielen, ohne dass der Nutzer davon etwas merkt.

Für staatliche Angreifer interessant 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. 49,99€ (spare 4€ zusätzlich bei Zahlung mit Paysafecard) - Release am 15.3.
  2. für 2€ (nur für Neukunden)
  3. 34,99€ (erscheint am 14.02.)

Tom01 26. Dez 2018

Nein. Das ist ein miserables Gehör. Bist du über 100? Ich kann auch 20kHz hören trotz...

M.P. 10. Jan 2017

Bis zum zweiten Komma bin ich Deiner Meinung.... Als US-Präsident gab es schon einen...

My1 09. Jan 2017

in so nem Fall wird es aber genutzt um dem nutzer den Login zu ersparen. was mMn auf...

My1 09. Jan 2017

ich hab alleine schon da mein Laptop da ggf versehentlich nerven könnte wenn man...

My1 09. Jan 2017

also wenn irgendwas sound startet, zeigt mein Opera und mein Firefox das an, und wenn es...


Folgen Sie uns
       


Far Cry New Dawn - Test

Far Cry New Dawn ist eine wesentlich rundere und damit spaßigere Version von Far Cry 5 - wenn man über den Ingame-Shop hinwegsieht.

Far Cry New Dawn - Test Video aufrufen
Asana-Gründer im Gespräch: Die Konkurrenz wird es schwer haben, zu uns aufzuschließen
Asana-Gründer im Gespräch
"Die Konkurrenz wird es schwer haben, zu uns aufzuschließen"

Asana ist aktuell recht erfolgreich im Bereich Business-Software - zahlreiche große Unternehmen arbeiten mit der Organisationssuite. Für Mitgründer Justin Rosenstein geht es aber nicht nur ums Geld, sondern auch um die Unternehmenskultur - nicht nur bei Asana selbst.
Ein Interview von Tobias Költzsch


    Ottobock: Wie ein Exoskelett die Arbeit erleichtert
    Ottobock
    Wie ein Exoskelett die Arbeit erleichtert

    Es verleiht zwar keine Superkräfte. Bei der Arbeit in unbequemer Haltung zum Beispiel mit dem Akkuschrauber unterstützt das Exoskelett Paexo von Ottobock aber gut, wie wir herausgefunden haben. Exoskelette mit aktiver Unterstützung sind in der Entwicklung.
    Ein Erfahrungsbericht von Werner Pluta


      Radeon VII im Test: Die Grafikkarte für Videospeicher-Liebhaber
      Radeon VII im Test
      Die Grafikkarte für Videospeicher-Liebhaber

      Höherer Preis, ähnliche Performance und doppelt so viel Videospeicher wie die Geforce RTX 2080: AMDs Radeon VII ist eine primär technisch spannende Grafikkarte. Bei Energie-Effizienz und Lautheit bleibt sie chancenlos, die 16 GByte Videospeicher sind eher ein Nischen-Bonus.
      Ein Test von Marc Sauter und Sebastian Grüner

      1. Grafikkarte UEFI-Firmware lässt Radeon VII schneller booten
      2. AMD Radeon VII tritt mit PCIe Gen3 und geringer DP-Rate an
      3. Radeon Instinct MI60 AMD hat erste Grafikkarte mit 7 nm und PCIe 4.0

        •  /