App schützt vor akustischem Tracking per Ultraschall

Viele Apps verlangen bei der Installation Zugriff auf das Mikrofon. Das finden viele Nutzer bedenklich. Zu Recht, wie sich herausgestellt hat. Damit ist es möglich, das Verhalten von Menschen mittels Ultraschall via Smartphone aufzuzeichnen. Das sind vom Menschen unhörbare Tonsignale und diese bekommen daher in der Regel nichts davon mit. 

IT-Sicherheitsexperten der Uni Braunschweig hatten im Zuge ihrer Forschungsarbeit herausgefunden, dass mindestens 234 Android-Apps die Mikrofon-Berechtigung für diese Zwecke missbrauchen. Durch das Ausspielen entsprechender akustischer Signale auf Webseiten können Nutzer identifiziert werden – und zwar über mehrere Geräte hinweg. Einige Apps nutzen die Ultraschallsignale etwa, um ortsspezifische Angebote wie Gutscheine auf den Smartphones anzuzeigen. 

Störssignale zum Blockieren

Forscher der Fachhochschule St. Pölten haben deshalb eine App entwickelt, mit der das akustische Tracking blockiert werden kann. Mit SoniControl können Nutzer das akustische Ausspionieren selbst entdecken und mit akustischen Störsignalen abdrehen. Die Forscher bezeichnen ihre App, die es offiziell seit März gibt, selbst als „Ultraschall-Firewall“. SoniControl wurde bereits 20.000 Mal runtergeladen. 

„Ziel des Projekts war nicht nur, die Privatsphäre durch Erkennen und Filtern von akustischen Cookies gezielt zu schützen, sondern auch, Bewusstsein für akustisches Tracking zu schaffen“, sagt Matthias , Forscher und Projektleiter von SoniControl am Institut für Creative-Media-Technologies an der FH St. Pölten. 
 

Privatsphärefreundlicher Einsatz

In einem derzeit laufenden Folgeprojekt namens SoniTalk entwickelt Zeppelzauer nun ein erstes offenes und privatsphäre-orientiertes Protokoll für die Datenübertragung im Ultraschall. Das Ultraschall-Tracking ist nämlich nicht per se „böse“, befindet sich derzeit allerdings in einer rechtlichen Grauzone, wie Ermano und Fabian Reinisch von der Wiener Kanzlei EY Law Pelzmann Gall Rechtsanwälte anmerken. 

Konkret geht es darum, dass die App-Anbieter sowie die Werbenden, die diese Technologie einsetzen, die Zustimmung der Nutzer benötigen. „Wir legen besonderen Wert darauf, die von den Juristen aufgezeigte Verpflichtung zur Aufklärung und Einwilligung der Nutzer bereits beim Design der Technologie zu integrieren“, sagt Zeppelzauer zu ihrer privatsphäre-freundlichen Umsetzung der Technologie. 

Datenschutz und Telekommunikation

„Alle datenschutzrechtlich relevanten Vorgänge wie etwa das Speichern der Daten, die Zusammenführung mit anderen personenbezogenen Daten zur Profilerstellung, weitere Analysen auf Grundlage dieser Daten, die Übermittlung der Daten, das Erstellen von Statistiken usw. sind allein nach der Datenschutzgrundverordnung (DSGVO) zu beurteilen. Je nach datenschutzrechtlicher Beziehung sind dann entsprechende Verträge zwischen App-Anbieterinnen und -Anbietern, Werbendem und Impulsaussenderinnen und -aussendern abzuschließen“, erklärt Geuer, Rechtsanwalt bei EY Law, die juristische Situation. Das Erheben der personenbezogenen Daten mittels Tracking-Technologien selbst fällt unter das Telekommunikationsgesetz. 

Durch derartiges Audiotracking per Ultraschall in Kombination mit Cross-Device-Tracking sind Nutzer über Accounts, Geräteerkennung und Social-Media-Profile identifizierbar und auch anonyme Geräte lassen sich dann einem User zuordnen. Auch eine Verbindung zwischen privaten und Firmengeräten könnte auf diese Art und Weise hergestellt werden. Das ist laut den Anwälten allerdings ein Problem. Prinzipiell gebe es für die Technologie „sinnvolle Anwendungsszenarien“. Derartige Tracking-Tools dürfen nicht bewusst versteckt werden, heißt es seitens der Anwälte.