Кросс-девайс трекинг или как обойти анонимность любого уровня при этом ничего не взломав

Кросс-девайс трекинг или как обойти анонимность любого уровня при этом ничего не взломав Информационная безопасность, Звук, Трекинг, Программа, Приложение, Защита информации, Telegram (ссылка), Яндекс Дзен (ссылка), Длиннопост

Специально для КиберВикенда от https://t.me/cyberyozh_official

Когда мы говорим про анонимность в сети, мы, как правило, говорим про различные проекты для построения анонимности в сети: TOR, VPN, i2P, Whonix, Tails, Qubes и многие, многие другие проекты.

Обычно, когда мы планируем, как атакующий может атаковать нашу систему, как он может нас взломать, что может достать, что отследить, что запросить от третьих лиц и т.д. Мы заботимся о том, чтобы наш трафик был зашифрован, ОС имела только свободное ПО, а IP был строго спрятан за связкой очень серьёзных анонимайзеров. Но есть кое-что ещё, о чём знает очень мало спецов по этой теме, кое-что, что может разрушить любую схему анонимности, в которой данная атака не была учтена.

Причём моментально! И даже не понадобится никаких огромных бюджетов и годы времени на расследование.

Коспирология? Бред автора статьи? Вброс?

Нет - подтверждённый и очень эффективный метод деанонимизации пользователей сети.

Встречайте:

Кросс-девайс трекинг или как обойти анонимность любого уровня при этом ничего не взломав Информационная безопасность, Звук, Трекинг, Программа, Приложение, Защита информации, Telegram (ссылка), Яндекс Дзен (ссылка), Длиннопост

Кросс-девайс трекинг

Что это?

Отслеживание устройств, находящихся рядом с устройством при помощи ультразвука.

Звучит как что-то из фильмов. Рассказываю принцип действия:

Допустим, берёте вы смартфон и открываете сайт, при открытии сайт воспроизводит звук и ваш ноутбук улавливает его с помощью микрофона.

Ноутбук уловил звук и определил, что данный смартфон находится рядом с ноутбуком. И наоборот. На сколько далеко это действует - скорее зависит от условий, это может быть тихое кафе (радиус действия ~10 метров), так и шумное метро (вряд ли будет работать вообще).

Кстати, динамик может исполнять функцию микрофона, поэтому всем, заклеившим и отключившим микрофон, можете делать то же самое и с динамиком.

Кстати, есть возможность прослушки даже через гироскоп, если устройство лежит на твердой поверхности, вы говорите, а гироскоп считывает колебания. Это не фантастика, это реальные исследования.

Даже если вы установите полностью открытое ПО на ваше устройство, звук на сайте всё равно сработает, а небезопасные устройства, которые находятся рядом с вашим устройством (ну, например, смартфон ваших соседей или смартфон другого посетителя кафе), передают информацию об этом на серверы какой-нибудь организации, передают своё местоположение, дальше уже деанонимизация.

Кросс-девайс трекинг или как обойти анонимность любого уровня при этом ничего не взломав Информационная безопасность, Звук, Трекинг, Программа, Приложение, Защита информации, Telegram (ссылка), Яндекс Дзен (ссылка), Длиннопост

Что это за звук такой?

Когда вы открываете сайт, он может воспроизводить звук. Этот звук может быть уникальным для конкретного сайта и устройства.

А теперь внимание: этот звук вы можете даже не услышать - динамик может произвести около ультразвуковой или ультразвуковой формат звука, а такой формат ухом человека воспринимается очень плохо или вообще не воспринимается.

Часто такие штуки стоят даже на простых сайтах, не говоря уже про криптообменники и т.д. И более того, если вы выключите звук на телефоне (многие, если не большинство андроидов), выключите все звуки и поставите телефон на вибрацию - звук всё равно будет проигран.

Также возможна такая комбинация - сначала будет громкий, слышимый для вас звук, а далее, когда громкий звук обнаружило какое-то из устройств неподалёку - данные передаются по ультразвуку.

А хотите ощутить это на себе?

Вот ссылка на сайт криптообменника с применением технологии кросс-девайс трекинга: https://banka.exchange/

Там кросс-девайс трекинг, я предупредил.

Немного побыв на сайте, вы услышите пиликанье (но далеко не во всех браузерах, зависит от вашего браузера. К слову, если в вашем браузере на вашем устройстве звук не проиграл, это далеко не значит, что его не было. Скорее всего, он был в формате ультразвука и вы его просто не услышали. А вот устройства неподалёку - услышали), потом попробуйте выключить звук на вашем устройстве и перезайдите на сайт, предварительно очистив куки-файлы - у многих, даже со включённым звуком на устройстве, звук всё равно будет проигран.

Зачем это придумали?

Маркетологам нужно было отслеживать все устройства людей для более персонализированной рекламы и удобного перехода между устройствами для человека. Мне кажется, что данная технология используется далеко не только маркетологами, но и хакерами и спецслужбами.

Какие устройства могут быть использованы для деанонимизации для помощи кросс-девайс трекинга?

Телефоны, компьютеры, телевизоры, умные колонки, умные часы, беспроводные наушники и так далее.

Насколько данная технология распространена?

Почти на всех популярных сайтах присутствует данная технология. Это массовая слежка, а не единичные случаи.

При запросе в поисковик "Кросс-девайс трекинг" выдаёт кучу курсов для маркетологов, попробуйте сделать такой запрос сами и убедитесь самостоятельно.

Возможно, вам покажется, что это работает только при каких-то суперразрешениях у приложений, доступе браузера к микрофону и т.д. Но это вообще не так. В большинстве андроидов, iOS устройств, стандартных прошивках Smart TV, стандартных прошивках умных часов и так далее - ПО для функционирования кросс-девайс трекинга предустановлено. И более того, скажу вам, что многие устройства слушают звук для принятия кросс-девайс трекинга даже в выключенном состоянии. Конечно, при полном выключении - вряд ли, но в режиме ожидания - вполне.

Реклама в ТЦ.

Казалось бы, причём здесь это вообще? А при том, что телефон слушает вас всегда и если вы находитесь в ТЦ, то бывает так, что колонки в ТЦ также используются для кросс-девайс трекинга, чтобы подбирать вам более релевантную рекламу.

Спрятались за TORом и Линуксом и думаете, что вы анонимны? Почитайте - https://www.bleepingcomputer.com/news/security/ultrasound-tracking-could-be-used-to-deanonymize-tor-users/

Кросс-девайс трекинг или как обойти анонимность любого уровня при этом ничего не взломав Информационная безопасность, Звук, Трекинг, Программа, Приложение, Защита информации, Telegram (ссылка), Яндекс Дзен (ссылка), Длиннопост

Как защититься?

Если без фанатизма - сидеть постоянно в наушниках.

Если же подходить основательно:

В интернете сидеть только далеко от других устройств. В том числе не забывайте про свой смартфон в кармане и про соседские устройства тоже.

Вырезать динамики, микрофоны и гироскопы на программном, а лучше физическом уровне. Динамики тоже могут использоваться как микрофон, как и гироскоп.

Звуки только в наушниках, желательно небольших и проводных. Бывают такие наушники, которые орут громче динамика некоторых смартфонов, нам такие не надо.

Про такие вещи на русском рассказывали очень мало кто, более-менее раскрывать тему - ещё меньше.

#кибербезопасность #анонимность #хакинг #трекинг

Спасибо за прочтение! Больше материалов вы можете найти в нашем ТГ канале: https://t.me/cyberyozh_official