badBIOS回归:这次的目标是你的电视

admin
admin
admin
0
文章
0
评论
2023-12-08 15:51:20 AnQuanKeInfo 来源:ZONE.CI 全球网 0 阅读模式

https://p5.ssl.qhimg.com/t016e9593621be085f6.jpg

联邦贸易委员会(FTC)是美国消费者的官方守护者。

这些天,他们正在调查有违准确性和公正性的事件,以及非法收集使用潜在客户个人信息的情况。

比如说最近几个月,联邦贸易委员会已经禁止了一系列他们认为涉嫌狡诈、欺骗和不诚信的在线活动。

举个例子:

一个手机追踪公司,他们声称拥有推出服务的功能,但是至今还没有告知详情,如果你发现了没有推出服务,你也不知道该怎么办。

一个Kickstarter项目运营商,吸引了大量投资,但是却没有像承诺的那样物尽其用,而是变成了他们的“不当得利”。

一个减肥药丸公司,对其产品作出了不合理的承诺,使用假代言,还利用广告和垃圾邮件进行非法宣传。

今天,联邦贸易委员会在华盛顿举办了一场题为“跨设备追踪”的讲习。

https://p0.ssl.qhimg.com/t01969c7f2979d7dda1.jpg

通过浏览器或者手机上的应用对某个人进行追踪是相当简单的一件事,比如说设置一下浏览器的插件,再或者是使用应用程序中的唯一标识符。

即使市场部门的人不知道你到底是谁,只要了解到一点你的兴趣或是你的购买倾向,他们都可以更有效地向你发送针对性广告邮件。

只要他们能给你发送更贴合实际的广告,他们就可以拥有更多的购买量,并且在这过程中,每个人都是满足的,包括你自己(他们的一家之言)。

但更困难的是,在这些不同设备之间绑定标识符。

你可能在微软系统手提电脑里的火狐浏览器中有一个插件代码是LNT67QTABZID,与此同时你的手机上有一个广告标识符是13N5TSDFFYHT。

对于一个在线营销公司来说,这两个代码代表两个人,除非他们能弄清这两个代码代表是同一个人。

一旦他们弄清了各个代码之间的关系,你的手机和你的电脑就可能会被绑定在一起。

显而易见的是,如果你在不同的设备上登陆同一个服务的同一个账号,服务提供商会给你提供相同服务。

类似的情况是,某些公司可能会给你提供一些免费服务,比如说移动热点,但是需要给你的手机发送验证码。而这就会给他们机会绑定你的电脑和手机。

联邦贸易委员会把这称为确定性跟踪,因为它有一个明确的构成,并且消费者并不知情。

概率跟踪

更令人担忧的是所谓的概率跟踪,你做什么、在哪做、怎么做,比如说设备型号、操作系统版本、屏幕分辨率和IP地址等,这些都有可能用于推断那些设备属于同一个用户。

正如联邦贸易委员会所说:

“一般消费者是看不见这种‘概率’跟踪的,不像是插件跟踪,消费者根本无法控制。因此,这种跟踪手法会造成大量的隐私问题。“

不准确性可能是这类手段中的最大问题。

 一家公司可以用尽各种手段去查找目标,比如你移动鼠标的方式、你如何键入还有其他许多数字行为,就像是他们在识别,而不只是假设。

  然后,他们理所当然的可以把这个不可靠的”识别信息“卖给第三方公司,这些公司可能会以一种卡夫卡式的办法去阻碍你的工作。

badBIOS回归

民主和技术直流中心(CDT)在向联邦委员会讲座提交的公众意见中提到了一种技术,一种最有趣的、也许也是最古怪的跨设备跟踪技术。

CDT提到了一家印度公司,他声称能够提供一种电视到智能手机的跟踪系统,不可思议的是,甚至使用到了超声。

就像是关于badBIOSde 争论,从2013年底持续到现在,这本该是能伤害硬件的恶意软件,甚至能够跨越所谓”空气间隙“网络系统窃取数据,比如说电视和手机之间的那种网络系统。

这种想法就是你可以使用一般的音频波浪传输数据,就算这两台电脑之间没有其他的网络连接。

在早期的调制解调器中,这种技术非常常见,通过常见电话的吹口直接拨号音,然后用声耦合器传输远程数据。

但是badBIOS开发者介绍了一个新的功能:不同于有线声音电话,现代设备有扬声器和麦克风,能够产生和录制超出正常人耳朵接受范围的声音频率。

理论上来说,至少在实验室里,一台电脑(或是电视)可以在不连接LAN、没有蓝牙和没有wifi的情况下发出声音,以便于附近的联合设备可以接收到数据。

不同于调制解调器的泄密音调,就像是你在Sophos Security Chet Chat podcast开头听到的静乐,那种高频率声音有可能是博客手机麦克风里的,但是这种声音人耳是听不到的。

超声跟踪

在CDT的文件中我们可以看到,其应用程序可以检测到电视广告配乐中被嵌入的超声波数据代码。

这意思就是,如果观众的电话是开着的,并且在一定范围内有一台电视,并且掌握了他们已经安装并且正在运行的一个应用程序,那么你就能够知道你是否在看他们的广告。

你甚至可以知道他们是都在广告过程中是否调台了。

当然如果没有调台,你也不能确定他们是否在看这个广告。

除非,谁知道呢,会不会有另一个应用程序可以跟踪查看广中家里的智能家居、监控用水量(比如马桶的冲水声)或是功率消耗(比如水壶的使用率),这样你就能知道是否可以为他们提供其他家务的相关广告了。

正如CDT所说,这种跟踪的阴谋就在于:

”跟踪公司的政策是不泄露技术嵌入的应用程序名称,意思就是用户不会知道哪些应用程序使用了这种技术,并且也没有办法退出。“

跟踪电视观众的习惯其实没有什么根本性的错误,无论是通过明确的智能电视网络反馈,还是通过非网络的音频反馈来提供相关信息,并且他们可以在任何时候收回该协议。

但是只提及了超声,甚至没有说badBIOS的记忆功能,以及手机应用程序私下利用麦克风检测声音,这样的做法却是有一些欺骗的成分。

如果一些像Skype和Facebook这样的主流应用愿意自查一下自己的技术是否有这部分不安全成分,那我们就可以击溃这类依赖于麦克风的非法追踪应用。

所以,让我们满怀期待的等待FTC的讲习吧。

https://p1.ssl.qhimg.com/t01c4fcf0c0acfddc59.jpg

weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0