Cross-Device Tracking
Cross-Device Tracking, auch Ultrasound Cross-Device Tracking (uXDT), ist ein Verfahren, mit dem die zeitgleiche Nutzung verschiedener elektronischer Geräte durch dieselbe Person mithilfe von Schallsignalen („Audio Beacons“) hoher Frequenz erfasst und beispielsweise zu wirtschaftlichen Zwecken ausgewertet wird.
Technik
Die verwendete Tonhöhe liegt zwischen 18 und 20 kHz, was für Menschen in der Regel unhörbar ist,[1] aber von den Lautsprechern und Mikrofonen handelsüblicher Geräte wie Fernsehgerät, Radio, Tablet-PC und Smartphone noch ausgesandt bzw. aufgenommen werden kann. Die Signale werden beispielsweise in Werbesendungen eingebettet und von dem in Reichweite befindlichen Gerät („cross-device, xD“) aufgenommen. Die uXDT-Funktion des im Gerät installierten Programms („App“) meldet den Empfang der Schallsignale sowie weitere Daten, welche das Gerät eindeutig identifizieren wie die MAC-Adresse oder International Mobile Subscriber Identity, über das Internet an interessierte Dritte weiter.
Zweck
Die Auswertung der Reaktionen auf die uXDT-Signale erlaubt beispielsweise, das Konsumverhalten der Benutzer hinsichtlich Ort, Zeitpunkt und Dauer sowie Art der empfangenen Werbesendung zu erfassen. Außerdem kann mithilfe der uXDT-Technik sogar die IP-Adresse der Endgeräte ausgelesen werden, auch wenn dies der Gerätenutzer durch Anonymisierung und Pseudonymisierung (zum Beispiel VPN und Tor) eigentlich verhindern will.[2] Auch sind Nutzer, die mehr als ein Gerät mit uXDT-Funktion eingeschaltet haben, ermittelbar. Wenn erfasst wurde, dass sie im Radio oder Fernsehen das uXDT-Signal in der Werbung für ein bestimmtes Produkt empfangen haben, kann ihnen beispielsweise im Smartphone hierzu gezielt weitere Werbung zugesandt werden.[3] Zu den ersten Unternehmen, die uXDT-Funktionen in Anwendungen implementierten, gehört der US-amerikanische Werbekonzern SilverPush. 2014 beschrieb dessen Mitgründer und Geschäftsführendes Vorstandsmitglied in einem Interview das Verfahren.[4]
Kritik
Diese Technik wird bisher in der Regel ohne Wissen der Gerätenutzer angewandt und ohne die Möglichkeit, diese unerwünschte Teilfunktion bei Bedarf abzustellen (opt-out). Auf die Gefahr für den Datenschutz wurde bald hingewiesen[5], und das US-amerikanische „Center for Democracy and Technology“ schilderte in einem Schreiben an die US-amerikanische Aufsichtsbehörde FTC ausführlich die Art und Bedeutung des uXDT-Trackings und empfahl der Behörde, geeignete Richtlinien zu erlassen und das Phänomen weiter zu untersuchen.[6]
Staatliche Regulierung
Die FTC hatte 2016 zwölf Entwickler von Anwendungen, die den SilverPush-Code verwendeten, gewarnt, dass sie rechtswidrig handeln, wenn sie die Verbraucher nicht über das Vorhandensein von uXDT-Funktionen in der jeweiligen Software informieren.[7] In Deutschland legt der Rundfunkstaatsvertrag in § 7 (3) fest, dass „in der Werbung und im Teleshopping keine Techniken der unterschwelligen Beeinflussung eingesetzt“ werden dürfen. Auch „bei Einsatz neuer Werbetechniken müssen Werbung und Teleshopping dem Medium angemessen durch optische oder akustische Mittel oder räumlich eindeutig von anderen Sendungsteilen abgesetzt“ sein.[8]
Verbreitung
Trotz staatlicher Vorgaben hat die Anzahl uXDT-fähiger Anwendungen in letzter Zeit nicht abgenommen: Auch nach der juristischen Warnung der FTC stellten beispielsweise Forscher der Universität von Santa Barbara in Zusammenarbeit mit einem auf Internet-Sicherheit spezialisierten Unternehmen fest, dass es weiterhin in mobilen Endgeräten zahlreiche Anwendung mit uXDT-Funktionen gab ohne Wissen und Zustimmung der Nutzer. Durch Zusatzsoftware (AddOn, Plug-in) im Browser waren die uXDT-Funktionen zwar blockierbar, der Einsatz solcher AddOns ist aber beim durchschnittlichen Gerätenutzer nicht verbreitet.[2]
Auch eine Gruppe an der Technischen Universität Braunschweig untersuchte das Vorkommen von uXDT-Technik. Sie fand 2016 in mehr als 230 von etwa 1,3 Millionen untersuchten Anwendungen[9] für das Betriebssystem Android uXDT-Funktionen, insbesondere von Shopkick, Lisnr und Silverpush. Diese Unternehmen übermitteln die ohne Wissen und Zustimmung der Gerätenutzer gewonnenen Daten dann Werbeanbietern und Handelsketten. Im Vorjahr waren dagegen nur sechs solcher Apps ermittelt worden. Die Forscher fanden zwar keine EU-Fernsehanstalten, die tatsächlich uXDT-Signale aussandten. Trotzdem mahnen die Autoren, die Nutzung sei in vielen mobilen Anwendungen bereits vorbereitet und könne in naher Zukunft eine ernsthafte Bedrohung der Privatsphäre werden.[10] Ob eine Anwendung die uXDT-Technik nutzt, können die Gerätenutzer in der Regel nicht feststellen. Experten raten daher, bei allen Anwendungen vorsichtig zu sein, die ohne ersichtlichen Grund Zugriff auf Mikrofon (oder Kamera) verlangen. Leider neigten aber viele Benutzer dazu, einer Anwendung jede gewünschte Berechtigung zu erteilen.[11]
Varianten
Eine ähnliche Technik wie die über das Internet wird auch in Ladengeschäften verwendet: Die uXDT-Signale werden dabei über Lautsprecher abgestrahlt, die zugleich Musik oder Ansagen aussenden, wodurch die uXDT-Signale durch elektronische Geräte der Kunden erfasst und weitergemeldet werden können, ohne dass sie für die meisten Kunden selbst wahrnehmbar sind. So können beispielsweise Kunden über ihre Geräte wiedererkannt und/oder ihre Bewegung im Laden ermittelt werden. In einer kleinen Stichprobe von 35 Läden in zwei europäischen Städten wurde vier solcher Läden mit uXDT-Technik gefunden.[3]
Einzelnachweise
- https://www.golem.de/news/anonymitaet-ultraschall-tracking-kann-tor-nutzer-deanonymisieren-1701-125434.html
- John Leyden: Anti-ultrasound tech aims to foil the dog-whistle marketeers: Researchers are finding ways to protect users from cross-device tracking, in: The Register (Großbritannien), online 4. November 2016
- Hauke Gierow: Fernsehwerbung: 230 Android-Apps unterstützen Tracking per Ultraschall, in: Golem.de - IT News für Profis, online 5. Mai 2017
- Anthony Ha: SilverPush Says It’s Using “Audio Beacons” For An Unusual Approach To Cross-Device Ad Targeting, Interview mit Hitesh Chawla in TechCrunch, online 24. Juli 2014
- Dan Goodin: Law & Disorder — Beware of ads that use inaudible sound to link your phone, TV, tablet, and PC. Privacy advocates warn feds about surreptitious cross-device tracking, in: Ars Technica, online 13. November 2015
- Center for Democracy and Technology: Comments for November 2015 Workshop on Cross-Device Tracking, Washington, 16. Oktober 2015 pdf 245 kB
- FTC Issues Warning Letters to App Developers Using ‘Silverpush’ Code. Letters Warn Companies of Privacy Risks In Audio Monitoring Technology
- Rundfunkstaatsvertrag in der konsolidierten Fassung (Stand: 1. Januar 2016) pdf
- Aus rechtlichen Gründen enthält die Publikation nicht die Namen der Anwendungen
- Daniel Arp, Erwin Quiring, Christian Wressnegger and Konrad Rieck: Privacy Threats through Ultrasonic Side Channels on Mobile Devices. Technische Universität Braunschweig, 2016 pdf (4,7 MB)
- Apps umgehen Datensperren - Wenn das Handy trotzdem petzt in: Tagesschau.de, online 5. Mai 2017
Literatur
- Center for Democracy and Technology: Comments for November 2015 Workshop on Cross-Device Tracking, Washington, 16. Oktober 2015, (pdf; 245 kB)