Alguns dos aplicativos mais populares do mundo estão provavelmente sendo cooptados por membros desonestos da indústria de publicidade para coletar dados de localização confidenciais em grande escala, com esses dados terminando com uma empresa de dados de localização cuja subsidiária já vendeu dados de localização global para os EUA. aplicação da lei.
Os milhares de aplicativos, incluído em arquivos hackeados da empresa de dados de localização Gravy Analytics, inclui tudo, desde jogos como Esmagamento de doces e aplicativos de namoro como o Tinder para aplicativos de rastreamento de gravidez e oração religiosa em Android e iOS. Como grande parte da coleta ocorre por meio do ecossistema de publicidade – e não do código desenvolvido pelos próprios criadores de aplicativos – essa coleta de dados provavelmente ocorre sem o conhecimento dos usuários ou mesmo dos desenvolvedores de aplicativos.
“Pela primeira vez publicamente, parecemos ter provas de que um dos maiores corretores de dados que vendem para clientes comerciais e governamentais parece estar adquirindo seus dados do ‘fluxo de lances’ de publicidade online”, em vez de código incorporado nos próprios aplicativos , Zach Edwards, analista sênior de ameaças da empresa de segurança cibernética Silent Push e que acompanhou de perto a indústria de dados de localização, disse à 404 Media após revisar alguns dos dados.
Os dados fornecem uma rara visão do mundo dos lances em tempo real (RTB). Historicamente, as empresas de dados de localização desenvolvedores de aplicativos pagos para incluir pacotes de código que coletaram os dados de localização de seus usuários. Muitas empresas recorreram, em vez disso, a obter informações de localização por meio do ecossistema de publicidadeonde as empresas fazem ofertas para colocar anúncios dentro de aplicativos. Mas um efeito colateral é que os corretores de dados podem ouvir esse processo e colher a localização dos telemóveis das pessoas.
“Este é um cenário de pesadelo para a privacidade, porque não só esta violação de dados contém dados extraídos dos sistemas RTB, mas também há alguma empresa por aí agindo como um texugo de mel global, fazendo o que bem entende com cada pedaço de dados que aparece em seu caminho. ”, diz Edwards.
Incluídos nos dados hackeados do Gravy estão dezenas de milhões de coordenadas de dispositivos móveis dentro dos EUA, Rússia e Europa. Alguns desses arquivos também fazem referência a um aplicativo próximo a cada dado de localização. A 404 Media extraiu os nomes dos aplicativos e criou uma lista dos aplicativos mencionados.
A lista inclui os sites de namoro Tinder e Grindr; jogos massivos como Esmagamento de doces, Corrida do Templo, Surfistas de metrôe Harry Potter: quebra-cabeças e feitiços; aplicativo de transporte público Moovit; My Period Calendar & Tracker, um aplicativo de monitoramento de menstruação com mais de 10 milhões de downloads; popular aplicativo de fitness MyFitness Pro; rede social Tumblr; Cliente de e-mail do Yahoo; Aplicativo de escritório 365 da Microsoft; e rastreador de voo Flightradar24. A lista também menciona vários aplicativos com foco religioso, como aplicativos de oração muçulmana e aplicativos bíblicos cristãos, vários rastreadores de gravidez e muitos aplicativos VPN, que alguns usuários podem baixar, ironicamente, na tentativa de proteger sua privacidade.
A lista completa pode ser encontrada aqui. Vários pesquisadores de segurança publicaram outras listas de aplicativos incluídos nos dados, de tamanhos variados. Nossa versão é relativamente maior porque inclui aplicativos para Android e iOS, e decidimos manter instâncias duplicadas do mesmo aplicativo com pequenas variações de nome para facilitar aos leitores a busca pelos aplicativos que instalaram.
Embora esse conjunto de dados tenha vindo de um aparente hack do Gravy, não está claro se o Gravy coletou esses dados de localização sozinho ou os obteve de outra empresa, ou qual empresa local os possui ou está licenciada para usá-los.
