ПО SilverPush позволяет следить за пользователями с помощью ультразвука

image

Теги: приложение, код, перехват, C&C-сервер

Приложение с кодом SilverPush может отправлять на C&C-серверы информацию о гаджете.

На прошлой неделе правозащитная группа Центр демократии и технологий (Center for Democracy and Technology, CDT) выразила обеспокоенность тем, что работающие на многих устройствах системы слежения за просмотром рекламы обмениваются информацией с помощью ультразвука. В частности, речь идет об индийской компании SilverPush, которая обладает технологией, позволяющей отправлять ультразвуковые команды на смартфоны и планшеты.

Программное обеспечение SilverPush может определять ультразвук, встроенный в ТВ-, радио- или браузерную рекламу. Эти сигналы находятся в диапазоне 18-19,5 кГц и не слышимы для человеческого уха, но могут быть расшифрованы ПО. Таким образом, приложение, в котором используется код SilverPush, может перехватывать сообщения от встроенного микрофона на смартфоне или планшете, отправлять на C&C-серверы информацию об устройстве, такую как номер IMEI, местоположение, версия ОС и данные о личности владельца.

Работает это следующим образом. К примеру, когда при просмотре телевизионного шоу на экране появляется реклама со встроенным ультразвуковым сообщением SilverPush, оно «подхватывается» приложением на смартфоне. Далее программа отправляет в медиа-сеть информацию о пользователе, а также может отображать на дисплее гаджета дополнительную рекламу и ссылки.

По словам главного технического специалиста CDT Джо Холла (Joe Hall), такой тип технологии вполне попадает под определение «подпольной», поскольку она работает без согласия владельца устройства, не позволяя ему отказаться от использования ПО. Холл отметил, что только немногие из приложений, в которых реализован SilverPush SDK, информируют о его наличии, поэтому о согласии пользователей говорить не приходится. Таким образом, данное ПО технически можно считать нелегальным в Европе и, возможно, в США.

До настоящего времени специалисты CDT обнаружили порядка 30 приложений, содержащих SilverPush SDK. В большинстве своем это программы для online-шопинга от индийских и дальневосточных компаний.

 

 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus