Erster Security-Anbieter blockiert geräteübergreifendes Ultraschall-Tracking

SicherheitSicherheitsmanagement
SilverPush (Bild:

Avira stuft die kürzlich stärker in die Kritik geratenen “Sound Beacons” von SilverPush nun als Malware ein. Der IT-Sicherheitsanbieter begründet das damit, dass die Software persönliche Informatioenn ausliest und weitergibt.

Avira stuft die kürzlich in die Kritik geratene Marketingtechnologie von SilverPush nun als Malware ein. SilverPush kann – ebenso wie übrigens auch Adobe, Drawbridge und Flurry durch ein für das menschliche Ohr unhörbares Ultraschallsignal dafür sorgen, dass Nutzerprofile über Geräte hinweg “synchronisiert” werden. Damit ist es Werbetreibenden zum Beispiel möglich festzustellen, wer nach dem Betrachten eines ihrer Werbespots im Fernsehen auf dem Tablet darauf reagiert hat.

Avira warnt vor neuer Phishing-NMasche mit Jobcenter-Anzeigen (Bild: Avira)

SilverPush liefert diese Technologie als Teil von diversen Apps aus, weigert sich aber eine Liste der Apps herauszugeben, in denen sie enthalten ist. Mitte September beschäftigte sich daher die US-Handelsaufsicht auf Antrag (PDF) der Bürgerrechtsorganisation Center for Democracy and Technology (CDT) mit der Software und dem Vorgehen als solchem.

“Das Signal [aus der Fernsehwerbung] kann von Apps mit SilverPush-Software gehört werden – und die antworten dann mit einer Nachricht zurück an SilverPush – in der sie mitteilen wo die Anzeige gesehen wurde und auf welchem Sender sie genau übertragen wurde. Aber das ist nur der Anfang: Die Nachricht enthält auch die exakte Geräte-ID, die MAC-Adresse des WLAN-Routers, Details über das Betriebssystem des Geräts und sogar die Telefonnummer des Nutzers”, erklärt Travis Witteveen, CEO bei Avira.

“Der Funktionsumfang der SilverPush-Software geht weit über den eines legitimen Werbe-Software-Development-Kits hinaus – bedenkt man einmal die Art, wie die Software Daten über den einzelnen Nutzer aufsaugt, den Umfang dieser Daten sowie den gewählten unsicheren Transportweg dieser Daten zurück zu SilverPush. Daher erkennt unsere Software sie nun als Trojaner”, so Witteveen weiter.

Zwar arbeiteten gegenwärtig auch die Firmen Drawbridge, Flurry und Adobe an ähnlichen Technologien, aus Datenschutzsicht sind laut CDT die Aktivitäten von SilverPush aber am bedenklichsten. Das in San Francisco ansässige und seit Sommer 2014 im Markt aktive Unternehmen erhielt erst kürzlich 1,25 Millionen Dollar Wagniskapital.

CDT zufolge versichert SilverPush zwar, dass es im Hintergrund keine anderen als die hochfrequenten Töne aufzeichnet, aber die Aktivisten kritisieren vor allem, dass es für Anwender keine Möglichkeit gibt, dem geräteübergreifenden Tracking ihre Zustimmung zu verweigern. Bedenklich sei auch, dass SilverPush die Apps nicht nennt, in denen sein SDK integriert ist. Es macht lediglich allgemeine Angaben dazu. So seien im April 2015 nahezu 70 Apps mit dem SDK von SilverPush auf dem Markt gewesen. Den Aktivisten zufolge konnte das Unternehmen so rund 18 Millionen Smartphones und deren Besitzer nachverfolgen.

Die Avira-Analyse der durch SilverPush mithilfe von Sound Beacon eingesammelten Nutzerdaten (Screenshot: Avira).
Die Avira-Analyse der durch SilverPush eingesammelten Nutzerdaten (Screenshot: Avira).
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen