Connect with us

Новости

Candy Crush, Tinder, MyFitnessPal — тысячи приложений шпионят за местоположением пользователей

Некоторые из самых популярных в мире приложений, вероятно, используются недобросовестными представителями рекламной индустрии для массового сбора конфиденциальных данных о местоположении.

Опубликовано

/

     
     

Некоторые из самых популярных в мире приложений, вероятно, используются недобросовестными представителями рекламной индустрии для массового сбора конфиденциальных данных о местоположении, причем эти данные попадают к компании, чей филиал ранее продавал данные о местоположении правоохранительным органам США.

Wired пишет, что ссылки на тысячи приложений были найдены во взломанных файлах компании Gravy Analytics, занимающейся сбором данных о местоположении, и среди них все: от игр вроде Candy Crush и приложений для знакомств вроде Tinder до приложений для отслеживания беременности и религиозных молитв как на Android, так и на iOS. Поскольку сбор данных происходит в основном через рекламную экосистему, а не через код, разработанный самими создателями приложений, этот сбор данных, скорее всего, происходит без ведома пользователей или даже разработчиков приложений.

“Впервые мы имеем доказательства того, что один из крупнейших брокеров данных, продающий данные как коммерческим, так и правительственным клиентам, получает их из потока рекламных ставок в Интернете, а не из кода, встроенного в сами приложения”, — сказал 404 Media Зак Эдвардс, старший аналитик по угрозам в компании Silent Push, которая внимательно следит за индустрией данных о местоположении.

Эти данные позволяют заглянуть в мир торгов в реальном времени (RTB). Исторически сложилось так, что компании, предоставляющие данные о местоположении, платили разработчикам приложений за включение в них кода, который собирал данные о местоположении пользователей. Теперь же многие компании перешли на получение информации о местоположении через рекламную экосистему, где компании участвуют в торгах на размещение рекламы в приложениях. А побочным эффектом является то, что брокеры данных могут “прослушивать” этот процесс и собирать данные о местоположении мобильных телефонов людей.

«Это кошмарный сценарий для конфиденциальности, потому что мало того, что эта утечка данных содержит данные, взятые из RTB-систем, так еще и какая-то компания действует как глобальный медоед, проявляя безразличие и пренебрежение к чужому мнению, делая все, что ей заблагорассудится, с каждым кусочком данных, который попадает в ее руки», — говорит Эдвардс.

Среди взломанных данных Gravy — десятки миллионов координат мобильных телефонов устройств в США, России и Европе. В некоторых из этих файлов рядом с каждой информацией о местоположении указано приложение. 404 Media извлекли названия приложений и составили список упомянутых приложений.

В список вошли сайты знакомств Tinder и Grindr; популярные игры, такие как Candy Crush, Temple Run, Subway Surfers и Harry Potter: Puzzles & Spells; транзитное приложение Moovit; приложение для отслеживания месячных My Period Calendar & Tracker с более чем 10 миллионами загрузок; популярное фитнес-приложение MyFitnessPal; социальная сеть Tumblr; почтовый клиент Yahoo; офисное приложение Microsoft 365; а также приложение для отслеживания полетов Flightradar24. В списке также упоминается множество религиозных приложений,  различные трекеры беременности и множество VPN-приложений, которые некоторые пользователи могут загружать, как это ни парадоксально, в попытке защитить свою конфиденциальность.

С полным списком можно ознакомиться здесь. Несколько исследователей безопасности опубликовали другие списки приложений разного размера. Но первая версия относительно больше, поскольку включает приложения для Android и iOS, и в ней сохранены дубликаты одного и того же приложения с небольшими изменениями в названии, чтобы облегчить поиск установленных ими приложений.

Хотя этот набор данных был получен в результате очевидного взлома Gravy, неясно, собирала ли Gravy эти данные о местоположении сама или получила их от другой компании, а также какая компания в конечном итоге владеет ими или имеет лицензию на их использование.

Большая часть данных о местоположении, привязанных к названиям этих приложений, не имеет временной метки. Но есть основания полагать, что они датируются 2024 годом. Одно из перечисленных приложений — Call of Duty: Mobile, а точнее к пятому сезону игры, который был запущен в мае 2024 года.

Gravy — это компания, которая обеспечивает большую часть индустрии данных о местоположении. Она собирает данные о местоположении мобильных телефонов из различных источников, а затем продает их коммерческим компаниям или, через свою дочернюю компанию Venntel, правительственным учреждениям США. Норвежский телеканал NRK ранее раскрыл поток данных о местоположении от горстки обычных приложений к Gravy и затем к Venntel. Среди клиентов Venntel — Иммиграционная и таможенная служба, Таможенная и пограничная служба, Налоговое управление, ФБР и Управление по борьбе с наркотиками.

Venntel также предоставила данные для другого купленного правительством инструмента слежки под названием Locate X. 404 Media и группа других изданий показали в прошлом году, как этот инструмент, созданный компанией Babel Street, может использоваться для слежки за посетителями абортивных клиник за пределами штатов.

Но новые данные, полученные в результате взлома, впервые показывают, как много приложений могут быть частью цепочки поставок данных о местоположении, даже если их разработчики не знают об этом. Большинство разработчиков приложений и компаний, попавших в список, не ответили на просьбу о комментарии. Flightradar24 сообщила в электронном письме, что никогда не слышала о Gravy, но что приложение отображает рекламу, которая «помогает поддерживать Flightradar24 бесплатным».

Tinder в своем письме сообщил, что «Tinder очень серьезно относится к безопасности и защите. Мы не имеем никаких отношений с Gravy Analytics и не располагаем доказательствами того, что эти данные были получены из приложения Tinder», но не ответил на вопросы о рекламе в приложении.

Важно, что данные были получены в результате торгов в режиме реального времени, поскольку это определяет, кто несет ответственность (недобросовестные представители рекламной индустрии и технологические гиганты, которые способствуют развитию этой индустрии), как пользователи могут защитить себя (блокировать рекламу), а также тот факт, что крупные издатели приложений могут даже не знать, что данные их пользователей собираются, и, следовательно, не знать, как это остановить. Разработчик приложения может знать, если он сам внедрил код для сбора данных о местоположении. Но он может и не знать, что какая-то компания молча подслушивает рекламный процесс и выкачивает данные из его приложения.

Следящие фирмы могут получать данные RTB, приобретая рекламные компании и выдавая себя за потенциальных рекламодателей. Шпионской компании, занимающейся сбором данных о местоположении, не нужно успешно размещать рекламу; вместо этого она может собирать данные об устройствах, просто подключившись к этой отрасли. Данные о местоположении в этом случае могут также включать IP-адрес пользователя, который затем геолоцируется для определения его грубого местоположения.

В январе прошлого года издание 404 Media сообщило об израильской компании Patternz, занимающейся слежкой, которая собирала множество данных о местоположении через RTB.

В разоблачительном видео Patternz показала некоторые из популярных приложений, из которых она получала данные о местоположении: 9GAG, Kik, спортивное приложение FUTBIN, приложения для определения номера звонящего, такие как CallApp и Truecaller, а также различные игры-головоломки, судоку и пасьянсы. Все эти приложения также присутствуют в данных Gravy. Это говорит о том, что Gravy, или то, откуда Gravy получила эти данные, также получило их в результате взаимодействия с рекламной системой, а не благодаря коду отслеживания, встроенному в приложения.

404 Media поделилась некоторыми данными о местоположении с другим исследователем безопасности, знакомым с индустрией рекламы и данных о местоположении. «Похоже, что по крайней мере часть этих данных, скорее всего, была получена из торгов в реальном времени», — сказал 404 Media Кшиштоф Франашек, основатель Adalytics, фирмы, занимающейся цифровой криминалистикой. Он отметил, что некоторые из User-agent в файле, которые показывают, как устройство пользователя подключилось к сервису, ссылаются на «afma-sdk». Это строка, используемая в Google Mobile Ads SDK. Другими словами, в некоторых случаях именно рекламная платформа Google предоставляет рекламу, которая в конечном итоге приводит к отслеживанию сторонними компаниями.

Франашек также утверждает, что «значительная часть этого набора геолокационных данных, по-видимому, определяется по IP-адресу, то есть поставщик или его источник определяют местоположение пользователя, проверяя его IP-адрес, а не используя данные GNSS/GPS. Это говорит о том, что данные берутся не только из геолокационных SDK».

«То, что мы видим в этих данных, кажется мне огромным разнообразием приложений», — говорит Эдвардс. «Это не то, что вы видите при использовании SDK; это то, что вы видите при использовании RTB».

В декабре Федеральная торговая комиссия запретила компании Mobilewalla, занимающейся сбором данных о местоположении, собирать данные о потребителях «с аукционов онлайн-рекламы для целей, отличных от участия в этих аукционах». Другими словами, агентство запретило Mobilewalla участвовать в процессе RTB для создания наборов данных об устройствах людей. FTC также заявила, что Venntel и Gravy собирали данные без согласия пользователей, обязала компанию удалить исторические данные о местоположении и запретила ей продавать данные, связанные с такими чувствительными областями, как медицинские клиники и места отправления культа, за исключением «ограниченных обстоятельств», связанных с национальной безопасностью или правоохранительными органами.

Если вы нашли опечатку - выделите ее и нажмите Ctrl + Enter! Для связи с нами вы можете использовать info@apptractor.ru.

Наши партнеры:

LEGALBET

Мобильные приложения для ставок на спорт
Хорошие новости

Telegram

Популярное

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: