Es probable que algunas de las aplicaciones más populares del mundo estén siendo cooptadas por miembros deshonestos de la industria publicitaria para recolectar datos de ubicación confidenciales a gran escala, y esos datos terminan en una empresa de datos de ubicación cuya subsidiaria ha vendido previamente datos de ubicación global a EE. UU. aplicación de la ley.
Las miles de aplicaciones, incluido en archivos pirateados de la empresa de datos de ubicación Gravy Analytics, incluye de todo, desde juegos como caramelo aplastar y aplicaciones de citas como Tinder hasta aplicaciones de seguimiento de embarazos y oraciones religiosas tanto en Android como en iOS. Debido a que gran parte de la recopilación se produce a través del ecosistema publicitario (no del código desarrollado por los propios creadores de la aplicación), es probable que esta recopilación de datos se realice sin el conocimiento de los usuarios o incluso de los desarrolladores de aplicaciones.
“Por primera vez públicamente, parece que tenemos pruebas de que uno de los mayores intermediarios de datos que vende a clientes comerciales y gubernamentales parece estar adquiriendo sus datos del ‘flujo de ofertas’ de publicidad en línea”, en lugar de código integrado en las propias aplicaciones. , le dice a 404 Media Zach Edwards, analista senior de amenazas de la firma de ciberseguridad Silent Push y que ha seguido de cerca la industria de los datos de ubicación, después de revisar algunos de los datos.
Los datos proporcionan una visión poco común del mundo de las ofertas en tiempo real (RTB). Históricamente, las empresas de datos de ubicación desarrolladores de aplicaciones pagas para incluir paquetes de código que recopilen los datos de ubicación de sus usuarios. En cambio, muchas empresas han recurrido a Obtener información de ubicación a través del ecosistema publicitario.donde las empresas pujan por colocar anuncios dentro de las aplicaciones. Pero un efecto secundario es que los intermediarios de datos pueden escuchar ese proceso y recopilar la ubicación de los teléfonos móviles de las personas.
“Este es un escenario de pesadilla para la privacidad, porque esta violación de datos no solo contiene datos extraídos de los sistemas RTB, sino que también hay una empresa que actúa como un tejón de miel global, haciendo lo que le da la gana con cada dato que se le presenta. ”, dice Edwards.
En los datos de Gravy pirateados se incluyen decenas de millones de coordenadas de teléfonos móviles de dispositivos dentro de EE. UU., Rusia y Europa. Algunos de esos archivos también hacen referencia a una aplicación junto a cada dato de ubicación. 404 Media extrajo los nombres de las aplicaciones y creó una lista de las aplicaciones mencionadas.
La lista incluye los sitios de citas Tinder y Grindr; juegos masivos como caramelo aplastar, Carrera del templo, Surfistas del metroy Harry Potter: rompecabezas y hechizos; aplicación de transporte Moovit; My Period Calendar & Tracker, una aplicación de seguimiento del período con más de 10 millones de descargas; la popular aplicación de fitness MyFitness Pro; red social Tumblr; Cliente de correo electrónico de Yahoo; La aplicación de oficina 365 de Microsoft; y rastreador de vuelos Flightradar24. La lista también menciona múltiples aplicaciones centradas en la religión, como aplicaciones de oración musulmana y de la Biblia cristiana, varios rastreadores de embarazos y muchas aplicaciones VPN, que algunos usuarios pueden descargar, irónicamente, en un intento de proteger su privacidad.
La lista completa se puede encontrar aquí. Múltiples investigadores de seguridad han publicado otras listas de aplicaciones incluidas en los datos, de distintos tamaños. Nuestra versión es relativamente más grande porque incluye aplicaciones de Android e iOS, y decidimos mantener instancias duplicadas de la misma aplicación que tenían ligeras variaciones de nombre para que a los lectores les resulte más fácil buscar las aplicaciones que han instalado.
Aunque este conjunto de datos provino de un aparente hackeo de Gravy, no está claro si Gravy recopiló estos datos de ubicación por sí mismo o los obtuvo de otra empresa, o qué empresa de ubicación es la propietaria o tiene licencia para usarlos.
