Geräteübergreifendes User-Tracking per Ultraschall gerät in die Kritik

Die Bürgerrechtsorganisation Center for Democracy and Technology (CDT) hat sich mit einer Warnung vor einer neuartigen Form von Anzeigen an US-Aufsichtsbehörden gewandt. In ihrem Schreiben (PDF) an die Federal Trade Commission (FTC) weist das CDT auf Fernsehwerbung mit eingebettetem Ultraschallsignal hin. Die für das menschliche Ohr nicht hörbaren Töne können aber von Smartphones und Tablets registriert werden und Cookies aktivieren, die ein geräteübergreifendes Nutzer-Tracking erlauben. Wie ArsTechnica berichtet, will die FTC sich heute mit der Thematik beschäftigen.

Das Center for Democracy and Technology hat erhebliche Bedenken gegen die neuartige Verknüpfung von Fernsehwerbung und Browser-Cookies. Das Verfahren erlaube eine bisher nicht mögliche Verknüpfung der Nutzeraktivitäten auf unterschiedlichen Geräteplattformen. So lassen sich zum Beispiel die vom Besitzer eines Mobilgeräts gesehene Fernsehwerbung mit dem von ihm genutzten Gerät und den möglicherweise durch die Werbung ausgelösten, auf dem Mobilgerät ausgeführten Aktionen in Beziehung setzen – etwa wenn er nach einer Werbung Online nach dem Produkt sucht. Außerdem könnten auch unterschiedliche Mobilgeräte durch Werbenetzwerke miteinander in Beziehung gebracht werden – etwa ein beruflich genutztes Smartphone und ein mit einem anderen Benutzerkonto lediglich privat verwendetes WLAN-Tablet.

„Wenn eine Person ihren Geschäften nachgehet, generiert ihre Aktivität auf jedem Gerät einen anderen Datenstrom über ihre Vorlieben und ihr Verhalten, die aber siloartig in den dazu verwendeten Geräten und darauf genutzten Services eingeschlossen sind“, erklären die CDT-Aktivisten. „Geräteübergreifendes Tracking erlaubt Werbetreibenden aber, diese Datenströme auf eine Person zurückzuführen und sich dadurch detailliertere Kenntnisse über eine Person zu verschaffen.“

An derartigen Konzepten arbeiten dem CDT zufolge derzeit unter anderem die Firmen Drawbridge, Flurry und SilverPush. Außerdem entwickle Adobe ähnliche Technologien. Aus Datenschutzsicht am bedenklichsten stuft das CDT aber die Aktivitäten der in San Francisco ansässigen Firma SilverPush ein, die seit Sommer 2014 in dem Markt aktiv ist und kürzlich 1,25 Millionen Dollar Wagniskapital zum Ausbau ihrer Aktivitäten bekommen hat.

„Stößt ein Nutzer beim Surfen im Web auf eine von SilverPush ausgelieferte Anzeige, wird nicht nur ein Cookie auf dem Computer platziert, sondern auch ein hochfrequenter Ton über dessen Lautsprecher ausgegeben. Der für Menschen nicht hörbare Ton wird auf anderen, smarten Geräten von dem darauf installierten Software Development Kit erkannt. SilverPush bettet seine patetnierten Audio-Beacon-Signale in Fernsehwerbung ein, die in aller Stille von einer App ohne dass der Nutzer das bemerken würde, empfangen werden.

Das SilverPush-SDK wird App-Entwicklern angeboten und kann von einer Reihe von Anbietern von Gratis-Apps verwendet werden, um ihre Arbeit zu finanzieren. Laut CDT versichert SilverPush, dass es im Hintergrund keine anderen als die hochfrequenten Töne belauscht. Die Aktivisten bemängeln aber dennoch, dass die einzige Einschränkung, die den Empfang eines solchen Audio-Beacons behindert, die Entfernung der Geräte voneinander ist und es für Nutzer keine Möglichkeit gibt, dem geräteübergreifenden Tracking ihre Zustimmung zu verweigern.

Bedenklich sei zudem, dass sich SilverPush weigert, die Namen der Apps zu nennen, in denen sein SDK verwendet wird. Im April 2015 waren laut CDT 67 Apps mit dem SDK von SilverPush auf dem Markt. Darunter müssen einige recht weitverbreitete sein, denn den Aktivisten zufolge konnte das Unternehmen so rund 18 Millionen Smartphones und deren Besitzer tracken.