W3C chce rozprawić się ze stronami, które szpiegują nas z użyciem ultradźwięków

Maciej Olanicki, 09.05.2020 r.

W ostatnich latach odnotowujemy rosnącą świadomość internautów w zakresie śledzenia ich przez internetowe sieci reklamowe. Nikogo już nie dziwi maszynowe skanowanie maili czy budowanie profilów reklamowych na bazie aktywności w mediach społecznościowych i swobodny handel tymi danymi. Mniej osób zdaje sobie jednak sprawę, że strony i programy komunikują się pomiędzy urządzeniami za pomocą dźwięków niesłyszalnych dla ludzkiego ucha. Z procederem tym chce rozprawić się organizacja W3C.

Śledzenie dzięki ultardźwiękom

Oczywiście śledzenie za pomocą ultradźwięków nie jest niczym nowym. Od lat w ten sposób nadużywane jest Web Audio API. Dzięki niemu strony mogą emitować z głośników urządzeń dźwięki o częstotliwości wyższej niż 20 tys. Herzów, którego co prawda nie słyszy sam użytkownik, ale urządzenia znajdujące się w pobliżu już tak. W ten sposób np. smartfon leżący obok emitującego ultradźwięki laptopa może otrzymać stosowne dane identyfikacyjne i połączyć dane z profilem reklamowym. Dla reklamodawców są to bardzo wartościowe dane.

Nowe możliwości w zakresie nadużywania Web Audio API otworzyła automatyka domowa, która zresztą wykorzystuje je także w pożądanych przez użytkowników celach (np. urządzenia Google z serii Cast). Ze strony użytkownika nie jest konieczna żadna interakcja, nie musi on klikać w podejrzane linki, a ochronę nie zawsze stanowią dodatki do przeglądarek pokroju uBlocka. Wystarczy bowiem, że ultradźwięki emituje np. reklama telewizyjna, aby wszystkie urządzenia w otoczenia telewizora otrzymały niezbędne dla reklamodawców dane.

W3C mówi basta

Jak zauważa Thomas Claburn na łamach The Register, zainteresowanie taką formą rażącego naruszania prywatności (wszak lwia część użytkowników nie ma o tego typu mechanizmach najbledszego pojęcia) nie maleje. W 2016 roku co prawda FTC opublikowało listę 234 aplikacji, które wykorzystuje ultradźwięki do śledzenia, ale moderacja Google Play z całą pewnością nie stanowi skutecznej ochrony przed ich ponowną publikacją pod innymi nazwami. Sprawą postanowiło zająć się W3C, które ma w tym zarkesie kompetencje standaryzacyjne.

Na liście dyskusyjnej organizacji swoimi spostrzeżeniami na ten temat podzielił się Samuel Weiler. W ostatnim czasie napotkał on dwa przypadki naruszania prywatności z użyciem Web Audio API. Choć zostały one rozwiązane, to problem jest znacznie większy, przez co Weiler uważa za zasadne rozpoczęcie dyskusji nad zmianami w API. Na razie szczegóły nie są znane, niemniej Raymond Troy z Google potwierdził, że kwestia ta będzie dyskutowana podczas kolejnego spotkania WG, które odbędzie się 14 maja.

Rozwiązaniem ograniczenie zakresu?

Czy to oznacza koniec Web Audio API? Tego akurat trudno oczekiwać, gdyż API to jest na dużą skalę wykorzystywane przez deweloperów między innymi do zarządzania źródłami dźwięku i jego przetwarzaniem. Biorąc pod uwagę popularność formatu wideo w Sieci, na czele z Netlfiksem czy YouTube, nie należy oczekiwać, że Web Audio API zostanie po prostu wycięte z przeglądarek. Można natomiast spodziewać się takich rozwiązań, jak ograniczenie zakresu dostępnych częstotliwości. Szczegóły poznamy wkrótce.