Kommunikation per Ultraschall: Nicht hörbar, nicht sichtbar, nicht sicher

Nachdem Ultraschall-Beacons vor einigen Jahren einen eher schlechten Ruf erlangten, zeichnen sich mittlerweile auch einige sinnvolle Anwendungen ab. Das größte Problem der Technik bleibt aber bestehen: Sie ist einfach, ungeregelt und sehr anfällig für Missbrauch.

Eine Analyse von Mike Wobker veröffentlicht am
Beim Shoppen passende Werbung per Ultraschall-Beacon aufs Smartphone zu bekommen, mag manchmal nützlich sein. Es ist aber auch ein Sicherheitsproblem.
Beim Shoppen passende Werbung per Ultraschall-Beacon aufs Smartphone zu bekommen, mag manchmal nützlich sein. Es ist aber auch ein Sicherheitsproblem. (Bild: Porapak Apichodilok/Pexels)

Ultraschall ist für Menschen nicht hörbar. Einige Firmen machen sich das schon länger zunutze, indem sie Ultraschallsignale auf ein Smartphone schicken und damit eine App aktivieren, die dann zielgerichtet Werbung anzeigt. Manche Anwendungen gehen aber noch weiter, potenziell geht das bis hin zum Tracking eines Nutzers oder dem Belauschen seiner Gespräche.

Inhalt:
  1. Kommunikation per Ultraschall: Nicht hörbar, nicht sichtbar, nicht sicher
  2. Apps funktionieren auch ohne Internet-Verbindung

Obwohl das schon lange bekannt ist, wird der Bereich immer noch nicht reguliert. Dabei wäre das dringend nötig. Denn der Bedarf an standortbasierter Werbung und Nutzertracking durch Werbetreibende ist vorhanden und wird vermutlich noch steigen. Ohne einen geeigneten Entwicklungsrahmen und einen definierten Industriestandard wie bei Wi-Fi und Bluetooth werden jedoch die Sicherheitsrisiken größer, was letztlich auf die Anwender zurückfällt. Ihnen bleibt bislang nur, bei jeder App-Installation zu hinterfragen, ob die jeweilige Anwendung wirklich den Zugriff auf das Mikrofon benötigt oder ob dies lieber verweigert werden sollte.

Dass Ultraschall-Beacons in großem Umfang eingesetzt werden, haben 2017 Forscher der Technischen Universität (TU) Braunschweig herausgefunden. Sie konnten 230 Anwendungen in Googles Appstore ausfindig machen, die auf ein im Ultraschallbereich ausgesendetes Signal reagierten. Bei den meisten solcher Apps geht es darum, passende Werbung einzublenden. So lässt sich zum Beispiel über TV-Werbespots eine App auf dem Smartphone des Zuschauers ansprechen, die mit einem besonderen Angebot passend zum beworbenen Produkt reagiert. In Einkaufszentren lässt sich das Signal verwenden, um Passanten mit auf das Smartphone gesendeten Angeboten in ein Geschäft zu locken.

Für die Anbieter solcher Apps ist unter anderem reizvoll, dass keine spezielle Hardware benötigt wird. Für die Übertragung des Signals sind lediglich ein Lautsprecher und ein Mikrofon nötig. Entwickler können durch vordefinierte Klassen sowohl in Android als auch unter iOS auf die verbaute Audiohardware zugreifen und müssen anschließend nur das empfangene Signal auf den vordefinierten Code hin scannen. Der notwendige Programmteil muss nicht einmal vom App-Entwickler selbst geschrieben werden. Anbieter wie Silverpush, Lisnr und Shopkick stellen direkt eine passende Komponente bereit, die diese Aufgabe übernimmt.

Stellenmarkt
  1. IT-Netzwerkadministrator (m/w/d)
    DRK Landesverband Rheinland-Pfalz e.V., Mainz
  2. React Frontend Entwickler (m/w/d)
    Hays AG, Hamburg
Detailsuche

Während sich Lisnr und Shopkick auf die lokale Übermittlung von Daten beschränken, also zum Beispiel einem Nutzer ein besonderes Angebot beim Betreten eines Ladenlokals auf das Smartphone senden, ist Silverpush dazu in der Lage, eine Person über mehrere Geräte hinweg zu tracken, ein Profil zu erstellen und dieses über eine Internetverbindung zu versenden. Das Unternehmen hat sich zwar mittlerweile aus diesem Geschäft zurückgezogen. Es ist aber nicht auszuschließen, dass andere Anbieter die Lücke schließen und sich die Technologie weiterverbreitet.

Um eine App über ein Audiosignal anzusprechen, wird bei der Technik von Silverpush der Frequenzbereich zwischen 18 und 20 Kilohertz (kHz) auf die Buchstaben des Alphabets aufgeteilt. Das ist der Bereich, in dem ein Signal noch per Schallwellen übertragbar, aber nicht hörbar ist. Bei jeder Übertragung werden fünf Buchstaben übermittelt, die den Standort des ausgesendeten Signals kennzeichnen. Anschließend sammelt eine App mit dem Silverpush-Code die empfangene Buchstabenkombination, die Device-ID des Smartphones sowie Daten über das Betriebssystem und sendet diese an die App-Entwickler. Je mehr Freigaben der App erteilt wurden, desto mehr persönliche Daten können dabei theoretisch ebenfalls mit erfasst werden.

Eine Anwendung wie Lisnr soll hingegen lediglich eine positionsbezogene Information übermitteln. Diese Information wird als binäres Signal im Bereich zwischen 18,5 und 19,5 kHz ständig wiederholt ausgesendet, meist unterlegt mit Musik. Anwender müssen aktiv die zum Standort passende App starten, woraufhin diese die Information aus dem empfangenen Audiosignal empfängt. Um den Akku zu schonen, wird dieser Vorgang nach einigen Sekunden gestoppt oder sofort beendet, nachdem die Information empfangen wurde. Shopkick folgt einem ähnlichen Prinzip. Die genannten Anbieter sind nur exemplarisch für weitere Dienstleister in diesem Bereich.

Mitunter wissen Nutzer gar nicht, dass die App lauscht

Der wesentliche Unterschied zwischen einem Anwendungsszenario von Silverpush und dem von Lisnr und Shopkick besteht darin, dass Silverpush beziehungsweise dessen immer noch verbreiteter Code keine Informationen an die Nutzer herausgibt. Diese haben demnach nicht die Möglichkeit zu erkennen, dass eine Anwendung nach Ultraschallsignalen lauscht und anschließend Daten übermittelt. Alle drei Apps sind in anderen integriert. Der Unterschied ist aber, dass bei Silverpush diese anderen Apps gar nicht erst geöffnet werden müssen. Lisnr und Shopkick erfordern hingegen das aktive Öffnen einer Anwendung, wodurch sich der Nutzer bewusst ist, dass der Empfang eines Signals zu erwarten ist.

In Europa hat sich der Einsatz dieser Technologie dank strengerer Datenschutz- und Werbevorschriften bisher nicht durchgesetzt. Außerdem haben Anwender mittlerweile die Möglichkeit, durch Apps wie das 2018 entwickelte Sonicontrol ein Ansprechen ihres Telefons auf Ultraschallsignale zu verhindern.

Ein grundsätzliches Problem besteht aber darin, dass Anwendungen, die diese Technik verwenden oder auch nur implementiert haben, nicht gekennzeichnet sind. Im Jahr 2016 führte Silverpush auf der eigenen Webseite Unternehmen wie KFC, Unilever, Nestle, Coca Cola und weitere als Kunden an - und es ist nicht auszuschließen, dass in deren Apps immer noch Bestandteile der Silverpush-Technik enthalten sind.

Eine Regelung über den rechtmäßigen Einsatz oder den Schutz der Privatsphäre ist ebenfalls nicht vorhanden und es sind bislang keine Anstrengungen bekannt, dies zu ändern. Somit sind auch Anwendungen denkbar, die weit über Werbung hinausgehen. Theoretisch lassen sich auch Nutzer des Tor-Netzwerks über eine App enttarnen, die auf ein Ultraschallsignal anspricht. Dabei schrecken auch staatliche Institutionen nicht davor zurück, die Technik der Werbetreibenden für sich zu nutzen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Apps funktionieren auch ohne Internet-Verbindung 
  1. 1
  2. 2
  3.  


MancusNemo 12. Feb 2020

Apps können gar keien Aufnahme mehr machen, wenn die App nicht im Vordergrund ist oder...

Urbautz 03. Feb 2020

Vor allem wenn man grade mal seine Ruhe haben will.

M.P. 03. Feb 2020

In der Allgemeinheit mag ich der Regulierung von Schallwellen nicht abschwören...

M.P. 03. Feb 2020

Prinzipiell hat man natürlich kein Geld für einen hochwertigen Tiefpassfilter - und bei...

ashahaghdsa 03. Feb 2020

Hä? Dann habe ich die Verwendung falsch verstanden. Ich dachte die App zeichnet auf, wer...



Aktuell auf der Startseite von Golem.de
Drucker
Ohne Tinte kein Scan - Klage gegen Canon

In den USA wurde eine Sammelklage gegen Canon eingereicht: Klagegrund ist, dass einige 3-in-1-Geräte nur scannen, wenn Tinte vorhanden ist.

Drucker: Ohne Tinte kein Scan - Klage gegen Canon
Artikel
  1. Microsoft: Xbox-Kühlschrank kostet 100 Euro
    Microsoft
    Xbox-Kühlschrank kostet 100 Euro

    Microsoft bringt wie angekündigt einen Minikühlschrank im Design der Xbox Series X auf den Markt, der auch nach Deutschland kommen wird.

  2. Streaming: Squid Game soll Netflix 900 Millionen US-Dollar bringen
    Streaming
    Squid Game soll Netflix 900 Millionen US-Dollar bringen

    Die südkoreanische Serie Squid Game ist dabei, sich zu Netflix' größtem Erfolg zu entwickeln: Die Survival-Serie bricht mehrere Rekorde.

  3. Silicon Valley: Apple entlässt #Appletoo-Aktivistin
    Silicon Valley
    Apple entlässt #Appletoo-Aktivistin

    Apple hat Janneke Parrish gekündigt, die sich für die Offenlegung von Diskriminierung in dem Unternehmen einsetzte. Auch Netflix entlässt offenbar eine Aktivistin.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 37% Rabatt auf Corsair-Produkte • Mehrwertsteuer-Aktion bei MediaMarkt • Crucial BX500 1 TB 69€ • Aerocool Aero One White 41,98€ • Creative Sound BlasterX G5 89,99€ • Alternate (u. a. AKRacing Core SX 248,99€) • Gamesplanet Anniv. Sale Classic & Retro [Werbung]
    •  /