Ma question porte sur l'utilisation de messages ultrasoniques qui font partie de l'écosystème publicitaire moderne et sont également utilisés par l'API de Google à proximité.
En ce qui concerne la publicité, le type de messages ultrasonores auxquels je fais référence est décrit dans cet article filaire intitulé "Comment bloquer les signaux ultrasonores dont vous ne saviez pas qu'ils vous suivaient", de 2016. L'article dit (non souligné dans l'original):
La technologie, appelée ultrason cross-device tracking, intègre des tonalités à haute fréquence qui sont inaudibles pour les humains dans les publicités, les pages Web et même les emplacements physiques comme les magasins de détail . Ces "balises" à ultrasons émettent leurs séquences audio avec des haut-parleurs, et presque tous les microphones d'appareils - comme ceux auxquels une application sur un smartphone ou une tablette accède - peuvent détecter le signal et commencer à rassembler une image de ce que vous avez vu les sites que vous avez parcourus, et même où vous avez été.
L'article Wired mentionne également que:
Maintenant que vous êtes suffisamment inquiet, la bonne nouvelle est qu'à la conférence de sécurité de Black Hat Europe jeudi, un groupe basé à l'Université de Californie à Santa Barbara présentera un Android patch et a = Chrome qui donne aux consommateurs plus de contrôle sur la transmission et la réception des emplacements ultrasoniques sur leurs appareils.
Étant donné que l'article datait de 2016, j'ai consulté la conférence Black Hat Europe de cette année pour plus d'informations sur le patch Android. La présentation mentionnée dans l'article Wired semble être celui-ci .
Les diapositives de présentation (disponibles ici ) m'ont conduit au site Web ubeacsec.org où les chercheurs ont un correctif Android comme mentionné dans le Article câblé Hélas, ce patch est un prototype de recherche conçu pour Android-5.0.0_r3.
Il y a aussi ce document de recherche de 2017 , intitulé "Menaces de confidentialité via les canaux latéraux ultrasoniques sur les appareils mobiles". Les auteurs de cet article ont découvert par exemple que
Quoi qu'il en soit, mon intérêt n'est pas seulement de bloquer les trackers publicitaires. Même si les services marketing peuvent être le plus grand consommateur de cette technologie, elle peut également être utilisée de nombreuses autres manières.
Un autre exemple d'utilisation a été fourni dans la présentation de Black Hat 2016 ci-dessus: pour anonymiser les utilisateurs qui visitent un site Web "pot de miel" sur le réseau Tor.
Et ce problème est lié à une autre technologie, à savoir l'API Google Messages à proximité. Le document de synthèse écrit par Google sur cette technologie ( ici ) dit que (non souligné dans l'original):
L'API Messages à proximité est une API de publication-abonnement qui vous permet de transmettre de petites charges utiles binaires entre Android connecté à Internet et Appareils iOS . Les appareils ne doivent pas nécessairement être sur le même réseau , mais ils doivent être connectés à Internet.
À proximité utilise une combinaison de Bluetooth, Bluetooth Low Energy, Wi-Fi et audio quasi ultrasonique pour communiquer un code d'appariement unique dans le temps entre les appareils.
Les préoccupations concernant l'API de messages à proximité sont les suivantes:
Indique si l'API à proximité nécessite Bluetooth pour les opérations:
La documentation de NeighborMessages sur CocoaPods (pour Apple) indique, ici :
Par défaut, les deux supports (audio et Bluetooth) seront utilisés pour découvrir les appareils à proximité, et les deux supports diffuseront et balayeront.
[...]
Dans certains cas, il se peut que votre application n'ait besoin que d'un seul des supports et qu'elle n'ait pas besoin de diffuser et de numériser sur ce support.
Par exemple, une application conçue pour se connecter à un décodeur qui diffuse sur audio n'a besoin que de scanner sur audio pour le découvrir.
Ainsi, comme expliqué dans le texte ci-dessus, l'API peut utiliser uniquement des ultrasons si nécessaire. Étant également que l'API semble être incluse dans Android en tant que fonctionnalité standard (dans le com.google.Android.gms.nearby
package), il ne devrait pas nécessiter une application spécifique pour écouter les messages. Ceci est également indiqué par la réponse ici .
Question:
Existe-t-il des moyens de bloquer ou au moins de détecter l'utilisation de canaux latéraux à ultrasons ou de l'API Google à proximité sur mon smartphone?
( Mise à jour: Avec cette question, je veux dire non seulement comment détecter une telle utilisation par des applications que je pourrais installer, mais aussi par le propre suivi/publicité de Google processus qui peuvent être exécutés hors de la boîte.)
Ce n'est pas la réponse que vous cherchez, mais c'est trop long pour un commentaire alors voilà.
Les applications collectent vos informations personnelles, car elles font partie de leurs plans de financement. En empêchant la collecte par des moyens techniques, vous violez un pacte implicite avec leurs développeurs. Si vous ne voulez pas divulguer vos informations, vous devez lire les conditions d'autorisation et les politiques de confidentialité, éventuellement ne pas installer d'applications qui ne respectent pas vos normes de confidentialité.
Il est de la responsabilité de tout système d'exploitation décent de mettre l'utilisateur en position de comprendre et de limiter les autorisations des applications. Toute tentative de le pirater par des moyens techniques pourrait le résoudre pour quelques techniciens, mais exposerait le reste de la population. C'est le scénario habituel "Je n'ai pas besoin de tuer ou de courir plus vite que le lion, j'ai juste besoin de courir plus vite que vous les gars" par lequel les grandes entreprises de technologie imposent à la plupart des pirates informatiques de les séparer aujourd'hui du peloton.
Quoi qu'il en soit, à partir du manuel Android :
Pour garantir que les utilisateurs contrôlent l'expérience, une boîte de dialogue d'activation s'affiche la première fois que l'utilisateur accède à l'API Messages à proximité
Solution: répondez non à la boîte de dialogue
Vous pouvez éviter la boîte de dialogue d'activation si votre application a obtenu l'autorisation ACCESS_FINE_LOCATION et n'utilise BLE que lors des publications et des abonnements.
Solution: n'installez pas l'application avec l'autorisation ACCESS_FINE_LOCATION (les autorisations sont imbriquées/masquées dans les pages Play Store).