利用声波进行零特权的跨设备追踪

作者： {Persist}@ArkTeam

原文作者： Nikolay Matyunin,

Jakub Szefer,

Stefan Katzenbeisser

原文题目： Zero-Permission Acoustic Cross-Device Tracking

原文来源： IEEE International Symposium on Hardware Oriented Security and Trust (HOST) 2018

大多数现代智能手机和智能手表都配备了陀螺仪，可以测量设备的旋转速率，以每秒弧度为单位围绕三个物理轴，以估计其在空间中的方向。在Android和iOS设备中，分别使用Sensor API和Core Motion框架来获取3轴陀螺仪值。基于微机电系统（MEMS, Micro-Electro-Mechanical System）的陀螺仪容易受到接近共振频率的声信号的影响，本文利用陀螺仪的这个特性进行跨设备追踪，如图所示，当声波处在陀螺仪的共振频率时会产生波动，通过检测波动可以传输和接受信号，有波动为1无波动为0。

图1 陀螺仪收到共振频率干扰时的波动

uXDT技术实现的基础是广告商隐藏于广告中的超声波信号。当广告在电视或广播中播放时，或者是广告代码在移动设备或计算机中运行时，它会发射出超声波信号，而这些信号可以被附近配备了麦克风的笔记本电脑、台式电脑、平板电脑或手机所捕获。这些设备在监听到超声波信号之后，可以解析出其中包含的隐藏指令，然后再根据广告商服务器所返回的数据来提取出目标设备的相关信息。

追踪步骤：

• 发送设备将跟踪用户的标识符编码成超声波声音信号，并通过扬声器发送出去。
• 攻击者控制接收器（移动设备）上的应用程序或网页，记录陀螺仪数据，捕获传输信号并解码ID。
• 恶意程序和网页不会请求任何权限。
• 接受设备必须距离发送设备很近。

三种攻击场景：

Web追踪：通过受害者浏览的网页来追踪

受害者访问了用来追踪用户的网页（比如某些广告的js脚本），而且受害者移动设备上的某个应用或者web页面被攻击者控制，可以接受到PC的超声波信号，这种情况下由于PC的扬声器质量稍微差一点，要求距离要近一点。

电视追踪：通过受害者所观看的电视节目以及广告来追踪

受害者所观看的电视媒体提供商将带有编码跟踪ID的超声波信标嵌入到广播的电视内容中，在观看电视内容的同时将信息发送到受害者移动设备上的恶意应用和网页上，这种情况下噪音会比较多。

位置追踪：通过受害者去的位置来追踪

受害者所在的位置（商场/超市等）安装了攻击者的发送设备，攻击者将位置信息通过超声波的形式发送到受害者手机的恶意应用上，这种情况下，受害者一般实在移动过程中的，陀螺仪会产生其他波动，干扰信息传输。

表1 三种追踪场景的比较

图2 不同干扰情况下共振干扰信息识别