In einer im Auftrag von NordVPN durchgeführten, repräsentativen Umfrage haben 31 Prozent der Befragten in Deutschland angegeben, dass sie auf Smartphone, Tablet oder Compuer schon einmal Werbung für etwas gesehen haben, über das sie kürzlich gesprochen oder wofür sie Werbung im Fernsehen gesehen haben, wonach sie auf dem Gerät aber nie gesucht haben.
Die Mehrheit der Befragten hat diese Erfahrung mit ihrem Smartphone gemacht (65 Prozent). 62 Prozent stellten das Phänomen bei der Nutzung ihres Computers fest, 27 Prozent auf dem Tablet. Mehr als 30 Prozent der Befragten sagten, dass sie sich dadurch verfolgt fühlen. 8 Prozent macht es sogar Angst.
Laut Adrianus Warmenhoven, Experte für Cybersicherheit bei NordVPN, sind die Ergebnisse weder Einbildung noch Zufall. Er führt sie vielmehr auf die Nutzung von Cross-Device Tracking mittels Ultraschall (uXDT) zurück. "Dabei handelt es sich um Apps auf Smartphones, die ununterbrochen unhörbare, hochfrequente Ultraschalltöne aus der Umgebung abhören und viele Informationen über dich sammeln - ohne dass Nutzer davon wissen. Später geben sie diese Daten an andere Geräte weiter", sagt Warmenhoven.
"Viele Apps bitten derzeit um die Erlaubnis, auf das Mikrofon des Smartphones zuzugreifen, um eine bestimmte Art von Ultraschall-Beacons einzubinden und sie zu verfolgen", erklärt Warmenhoven. "Da keine mobile Daten- oder WiFi-Verbindung erforderlich ist, sondern nur der Zugriff auf das Mikrofon, um die Beacons zu hören, funktioniert die Verfolgung auch dann, wenn das Telefon nicht mit dem Internet verbunden ist."
uXDT schon länger in der Kritik
Was nach Verschwörungstheorie klingt, ist schon vor Jahren mehrfach von seriösen Forschern nachgewiesen worden. 2016 zeigte der Sicherheitsforscher Vasilios Mavroudis bei einer Veranstaltung des Chaos Computer Clus, wie sich mit uXDT die Anonymität von Tor-Nutzern aushebeln lässt. Mavroudis konnte in Tests mit der Technologie unter anderem E-Mail- und IP-Adresse, Telefonnummer, IMEI und Geolokalisationsdaten der Geräte ermitteln. Im selben Jahr präsentierte auf der Black-Hat-Konferenz ein Team von Forschern der Universität Santa Barbara zusammen mit dem Threat Researcher Federico Maggi von Trend Micro ebenfalls Erkenntnisse zum Tracking mittels uXDT.
2017 entdeckten Forscher der Technischen Universität Braunschweig bereits 234 Android-Apps, die ohne Zustimmung der Nutzer im Hintergrund das Nutzungsverhalten per Ultraschall verfolgten. Die Technologie konnte Informationen über benutzte Apps, besuchte Orte und aufgerufene Websites sammeln. Die Apps profitieren dabei davon, dass Lautsprecher eines Smartphones für das menschliche Ohr unhörbare Töne im Ultraschallbereich ausgeben und empfangen können. Solche Signale lassen sich auch in Fernsehwerbung einbinden, in interne Musikangebote in Ladengeschäften ausstrahlen oder auf ähnliche Weise verbreiten.
Maßnahmen der Behörden gegen uXDT
Pionier in diesem Bereich war das Unternehmen SilverPush aus Singapur. Dessen CEO erklärte uXDT bereits 2014 in einem Interview mit TechCrunch. Nach mehreren Warnungen der US-amerikanischen Handelsaufsicht FTC hat das Unternehmen sie aber inzwischen aufgegeben. 2017 erklärte Google im Zuge der Diskussion, die die Studie der Braunschweiger Forscher ausgelöst hatte, dass es Apps mit Ultraschall-Technologie aus dem Play Store entfernen werde. Berichten zufolge hatte es zuvor jedoch selbst in die Technologie investiert, ebenso wie zum Beispiel Nestlé und Dominos als Anwender sowie die damaligen SilverPush-Mitbewerber Signal360 und Audible Magic als Anbieter.
"Während die geräteübergreifende Verfolgung des Nutzerverhaltens für Werbetreibende von Vorteil ist, wird sie von Datenschutzexperten oft in Frage gestellt, weil es ihr an Transparenz, Sicherheit und Schutz sensibler Nutzerdaten mangelt", fasst NordVPN diese Sachverhalte zusammen. Dennoch könne die geräteübergreifende Ultraschall-Verfolgung auch heute alle Geräte, die Nutzer besitzen, miteinander verknüpfen und deren Verhalten sowie deren Standort verfolgen.
"Diese Ultraschall-Audio-Beacons können in viele Dinge eingebettet sein, mit denen wir täglich interagieren: Fernsehsendungen, Online-Videos oder Websites oder Apps auf unseren Telefonen", erklärt NordVPN. "Es ist nicht möglich, die Ultraschall-Beacons daran zu hindern, Schallfrequenzen um einen herum auszusenden. Daher ist die beste Möglichkeit, die Wahrscheinlichkeit zu verringern, dass das Smartphone-Beacons abhört, unnötige Berechtigungen einzuschränken, die man den auf dem Gerät installierten Apps erteilt hat", empfiehlt Warmenhoven.
Was man gegen uXDT tun kann
Ihm zufolge lässt sich das geräteübergreifende Tracking verringern, wenn man ein VPN verwendet, das alle Informationen über die Internetaktivitäten verschlüsselt und die IP-basierte Verfolgung verhindert, da es die IP-Adresse verschleiert.
Eine weitere Möglichkeit sei die Nutzung eines Datenschutz-Browser. Warmenhoven empfielt hier Tor. VPN-Funktionen gibt es zudem bei Opera und auch der deutsche Anbieter Cliqz geht in einem Blog-Beitrag explizit auf den Schutz vor uXDT ein.
Dritte und aufwändigste Option ist es, die App-Berechtigungen zu ändern. Denn Apps auf dem Smartphone haben möglicherweise Berechtigungen, die nicht erforderlich sind. Zum Beispiel benötigte eine Fotobearbeitungs-App keinen Zugriff auf das Mikrofon. Wenn Apps über solche Berechtigungen verfügen, sollte man die widerrufen. Grundsätzliche Empfehlungen zur Internet-Nutzung bei größtmöglicher Wahrung der Privatsphäre gibt zudem der Verein Digitalcourage unter dem Stichwort "Digitale Selbstverteidigung".
Für die NordVPN-Studie wurden 10.808 Personen in elf Ländern befragt: Australien, Kanada, Deutschland, Spanien, Frankreich, Italien, den Niederlanden, Polen, Schweden, Großbritannien und den USA. Die Umfrage führte eine Agentur zwischen 23. Februar und 7. März 2023 durch. Den Befragten wurde eine Reihe von Fragen zu Werbung und geräteübergreifendem Tracking gestellt. Die Stichproben waren repräsentativ für die erwachsene Bevölkerung des jeweiligen Landes.
Online-Käufer achten verstärkt auf Datenschutz