sábado, 21 de novembro de 2015

Anúncios de TV podem silenciosamente enviar comandos ping para telefones

No início desta semana o Centro para Democracia eTecnologia (CDT) alertou que uma empresa indiana chamada SilverPush tem tecnologia que permite anúncios para comandos ping inaudíveis para smartphones e tablets.


SmartPhone

Agora alguém tem a engenharia reversa do código e publicou-o para que todos possam verificar.

O Kit de software SilverPush pode ser amarrado em aplicativos, e é projetado para pegar sons quase ultra-som incorporados em digamos, um anúncio de TV, rádio ou navegador web. Estes sinais, na gama de 18kHz a 19.95kHz, são demasiado agudos para a maioria dos humanos ouvirem, mas pode ser descodificado pelo software.

Um aplicativo que usa o código do SilverPush pode pegar essas mensagens a partir do telefone ou o microfone embutido do tablet, e ser direcionado para enviar informações como o número do handheld IMEI, localização, versão do sistema operacional e potencialmente, a identidade do proprietário, a infraestrutura do aplicativo nos servidores.

Imagine-se sentado em frente da televisão com o seu smartphone nas proximidades. Um anúncio vem durante o show que você está assistindo, e ele tem uma mensagem de ultra-som SilverPush incorporado. Este é captado por um aplicativo no seu celular, que pinga uma rede de mídia com informações sobre você, e pode até mesmo exibir anúncios e links de acompanhamento no tablet ou smartphone.

"Este tipo de tecnologia é fundamentalmente sub-reptícia na medida em que não exige o consentimento do usuário e se ele exigisse em seguida o número de usuários iria cair", Joe Hall, tecnólogo-chefe da CDT disse ao The Register na quinta-feira. "Ela não tem a capacidade de ter os consumidores dizem que eles não querem isso e não estar associada com o software." Muito pouco os aplicativos que incluem o SilverPush SDK informar aos usuários sobre isso, então não houve consentimento informado. Isso faz com que esse tipo de software seja tecnicamente ilegal na Europa e, possivelmente, nos EUA.

Como a notícia sobre SilverPush spread, Kevin Finisterre, da consultoria de segurança digital Munition decidiu dar uma olhada no código. Desde então, ele publicou suas descobertas no GitHub.

Ele descobriu que o software usa letras do alfabeto para tons de alta frequência, por exemplo: um som de 18kHz se traduz em um 'A', e 19.125kHz é um 'P'. Pares desses caracteres são usados para identificar anúncios de TV: 'AP' é usado para reconhecer um anúncio e exibir uma imagem e link para o biz seguro. Anúncios on-line parecem usar uma impressão digital de cinco caracteres.

O próximo passo lógico é ver se esses sinais podem ser interrompidos. Finisterre brincou com tentativa de falsificar os sons dos aplicativos que estão procurando e enviar dados. Também seria possível escrever um programa que envia aleatoriamente tons de ultra-som para perturbar o sistema, embora esta "provavelmente irá irritar seu cão e um monte de outros animais.

"Gostaria de tentar bloquear este no nível do driver de áudio, não no nível do navegador. Qualquer outro aplicativo pode implementar o mesmo tipo de tecnologia, disse ele".



Guia de Auditoria para dispositivos móveis: Aprenda de forma fácil a auditar dispositivos móveis