Connect with us

TechHype

Все знают ваше местоположение: отслеживание пользователя через рекламу в приложениях

Данное исследование подчеркивает масштаб сбора и передачи персональных данных через мобильные приложения и рекламные сети, а также необходимость повышения осведомленности пользователей о подобных практиках.

Опубликовано

/

     
     

В статье автор делится своим опытом исследования утечки геолокационных данных через мобильные приложения. Поводом для этого послужила новость об утечке данных от компании Gravy Analytics, которая выявила более 2000 приложений в App Store и Google Play, тайно собирающих геолокационные данные без согласия пользователей и зачастую без ведома разработчиков.

Цель исследования

Автор решил проверить, можно ли отследить собственное местоположение, приобретя утекшие геолокационные данные, собранные каким-либо приложением.

Методология

Для эксперимента использовались:

  • Старый iPhone 11, сброшенный до заводских настроек и с новым Apple ID.
  • Приложение Charles Proxy для записи всего входящего и исходящего трафика, с установленным SSL-сертификатом на iPhone для расшифровки HTTPS-трафика.
  • Игра Stack от KetchApp, выбранная из-за ностальгии и наличия в списке приложений, подозреваемых в сборе данных.

Результаты

После запуска игры Stack было зафиксировано множество запросов, отправляемых приложением. Среди них особенно выделялись запросы к серверам Unity Ads, содержащие следующие данные:

  • IP-адрес пользователя.
  • Широта и долгота (геолокация).
  • Временная метка.
  • Идентификатор для вендора (IDFV).

Это удивило автора, поскольку службы геолокации на iPhone были отключены для всех приложений. Но Unity, известная как разработчик 3D-движка, получает основной доход от Unity Ads — сети мобильной рекламы, собирающей данные пользователей.

Также был обнаружен запрос к серверам Facebook*, содержащий IP-адрес и временную метку, несмотря на отсутствие установленных приложений Meta и явного согласия пользователя.

Обсуждение идентификаторов

Автор подробно рассматривает различные идентификаторы, используемые для отслеживания пользователей:

  • IDFV (Identifier for Vendor): уникальный идентификатор для каждого разработчика, одинаковый для всех приложений одного вендора на устройстве.
  • IDFA (Identifier for Advertisers): идентификатор для рекламодателей, используемый для отслеживания пользователя между различными приложениями. При отключении опции «Разрешить отслеживание» этот идентификатор устанавливается в значение 00000000-0000-0000-0000-000000000000.

Автор отмечает, что даже при отключенном отслеживании приложения могут собирать множество других данных (например, уровень яркости экрана, объем свободной памяти, уровень заряда батареи), которые потенциально могут использоваться для идентификации пользователя.

Поток данных и участники процесса

В цепочке передачи данных участвуют несколько сторон:

  1. Приложение: собирает данные и отправляет их.
  2. SSP (Supply-Side Platform): например, Unity Ads, собирает данные от приложения через SDK.
  3. DSP (Demand-Side Platform): например, Moloco Ads, агрегирует данные от нескольких SSP и связывает их с рекламодателями.
  4. Рекламодатель: получает данные и отображает рекламу пользователю.

Автор выражает обеспокоенность тем, что такие компании, как Moloco Ads, агрегируют огромное количество данных, и практически любая компания, став партнером по рекламе, может получить доступ к этим данным.

Датаброкеры

Автор обнаружил, что существуют компании, такие как Redmob, предлагающие доступ к глобальным данным о местоположении устройств, охватывающим более 1.5 миллиардов устройств. Стоимость годовой подписки на такие данные может достигать $120,000. Предоставляемые данные включают идентификаторы устройств, временные метки, геолокацию и даже информацию об используемых приложениях.

Выводы

В ходе исследования автор пришел к следующим выводам:

  1. Обнаружены запросы, отправляемые с устройства, содержащие геолокационные данные и IP-адреса, которые могут быть использованы для определения местоположения.
  2. Получены глубокие знания о процессе RTB (Real-Time Bidding) и протоколе OpenRTB, а также о масштабах и типах данных, передаваемых в ходе рекламных аукционов.
  3. Попытки приобрести собственные данные о местоположении у датаброкеров или сервисов отслеживания оказались неудачными из-за высоких затрат и требований к компаниям-покупателям.

Несмотря на это, автор уверен, что его данные о местоположении были собраны и доступны для покупки.

Данное исследование подчеркивает масштаб сбора и передачи персональных данных через мобильные приложения и рекламные сети, а также необходимость повышения осведомленности пользователей о подобных практиках.

Если вы нашли опечатку - выделите ее и нажмите Ctrl + Enter! Для связи с нами вы можете использовать info@apptractor.ru.
Telegram

Популярное

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: