Os dados de anúncios móveis criaram uma zona global sem lei para vigilância
(krebsonsecurity.com)- O processo baseado na Daniel’s Law em New Jersey revela que dados publicitários de apps e sites são reunidos em serviços comerciais, permitindo que o rastreamento dos deslocamentos pessoais, antes visto como vigilância de nível estatal, também seja usado por clientes privados
- O LocateX da Babel Street permite marcar um local específico com um polígono no mapa e exibir, com alguns dias de atraso, o histórico de movimentação dos dispositivos móveis que entraram e saíram da área, além de rastrear dispositivos individuais por MAID
- Um investigador contratado pela Atlas Data Privacy conseguiu, com apenas uma conta de teste gratuita de duas semanas, rastrear a localização de alvos sensíveis como policiais de New Jersey, possíveis jurados de tribunais e visitantes e funcionários de clínicas de aborto
- Os dados de localização se espalham por permissões de apps, solicitações de lances publicitários e redes de leilão em tempo real, e a Atlas afirma que é possível obter acesso a dezenas de bilhões de pontos de dados por US$ 10 mil a US$ 50 mil por ano
- Tanto Android quanto iOS permitem restringir o ID de publicidade e as permissões de localização, mas se dispositivos de familiares ou colegas forem rastreados, ainda é possível inferir a localização de pessoas próximas
O processo da Daniel’s Law e o Babel Street LocateX
- A Atlas Data Privacy Corp., sediada em Delaware, é uma empresa que ajuda a remover informações pessoais de corretores de dados de consumo e serviços online de busca de pessoas
- Em 2024, a Atlas abriu processo contra 151 corretores de dados de consumo em nome de um grupo de clientes que inclui mais de 20 mil agentes de segurança pública de New Jersey
- A questão central é se os corretores de dados violaram repetidamente a Daniel’s Law
- A Daniel’s Law é uma lei de New Jersey que permite que agentes de segurança pública e funcionários do governo, juízes e seus familiares removam completamente suas informações de corretores de dados comerciais
- A lei foi aprovada em 2020, após a morte de Daniel Anderl, filho de uma juíza federal alvo de um ataque
- Na semana passada, a Atlas entrou com uma ação com base na Daniel’s Law contra a empresa de tecnologia Babel Street, registrada em Reston, Virginia
- O principal produto da Babel Street permite desenhar um polígono digital ao redor de praticamente qualquer local em um mapa mundial e então mostrar, com alguns dias de atraso, um histórico por faixa horária dos dispositivos móveis que passaram pela área
Como o LocateX rastreia
- O LocateX da Babel Street pode rastrear usuários móveis individuais por meio do Mobile Advertising ID (MAID), um identificador alfanumérico único embutido em dispositivos Google Android e Apple
- Esse recurso usa dados de localização e informações de identificação coletados por vários sites e apps
- Essas informações podem ser enviadas a dezenas ou centenas de redes de anúncios que tentam mostrar publicidade a um usuário específico
- Um investigador particular contratado pela Atlas recebeu a oferta de um teste gratuito da Babel Street e disse que, com isso, conseguiu descobrir o endereço residencial e os deslocamentos diários da família de um policial de New Jersey que já havia sofrido assédio e ameaças de morte
- O investigador confirmou que a Babel Street integrava serviços de busca de pessoas à plataforma, facilitando para clientes restringirem a busca por um dispositivo específico
- Um representante comercial da Babel Street disse que o serviço era oferecido apenas ao governo ou a “contratados do governo”, mas, segundo a Atlas, quando o investigador afirmou que estava avaliando futuros trabalhos sob contrato com o governo, ouviu que “isso já basta” e que “na prática eles não verificam”
Casos que podem levar à vigilância sem mandado
- Durante o período de teste da Babel Street, o investigador da Atlas disse que conseguiu localizar informações sobre visitantes de locais de alto risco, como mesquitas, sinagogas, tribunais e clínicas de aborto
- Um vídeo mostraria o processo de isolar dispositivos móveis presentes no estacionamento reservado a jurados de um tribunal de New Jersey e depois rastrear, por alguns dias, o celular de uma pessoa aparentemente jurada até seu endereço residencial
- O LocateX permite desenhar polígonos digitais ao redor da casa ou do trabalho de um alvo e filtrar apenas os dispositivos que passaram por aquele endereço todos os dias
- Um dos recursos exclusivos da Babel Street, o night mode, facilita identificar com precisão de poucos metros onde o alvo passa a noite regularmente
- Os termos de uso do LocateX afirmam que o produto não pode ser usado como base para mandados, intimações ou qualquer outro procedimento legal ou administrativo em qualquer país
- O policial de Rahway, New Jersey, Scott Maloney, disse que, em investigações criminais, é preciso obter um mandado de um juiz para rastrear alguém, e que considera extremamente preocupante que corretores de dados rastreiem e vendam informações de sua família sem consentimento
O caso do casal Maloney e os dados de localização de apps
- Os autores da ação da Atlas, Scott Maloney e Justyna Maloney, são policiais de Rahway, NJ, e vivem com seus dois filhos
- Em abril de 2023, após Justyna responder a uma ocorrência comum envolvendo um homem que filmava pessoas do lado de fora da Motor Vehicle Commission, vídeos editados de forma seletiva se espalharam e o endereço residencial e o número de telefone não listado do casal foram publicados online
- Desde então, segundo o processo, o casal recebeu exigências de dinheiro, ameaças de morte dizendo que “pagariam com sangue” e vídeos com ameaças armadas de cortar a cabeça de membros da família
- Algumas semanas depois, um vizinho avisou a polícia ao ver pessoas suspeitas usando máscaras de esqui estacionadas perto da casa, e imagens de vigilância de residências próximas mostraram essas pessoas circulando ao redor da casa dos Maloney
- Policiais que atenderam a ocorrência prenderam dois homens armados por posse ilegal de arma de fogo
- O investigador da Atlas disse que não conseguiu localizar com certeza o iPhone de Scott na Babel Street, mas afirmou ter encontrado o dispositivo de Justyna
- Na Babel Street havia quase 100 mil ocorrências ligadas ao celular de Justyna ao longo de vários meses, o suficiente para reconstruir sua rotina de deslocamentos e encontros com outras pessoas
- O único app no iPhone de Justyna que usava dados de localização era o app da loja de departamentos Macy’s
- A Macy’s respondeu que o app possui um recurso opcional para melhorar a experiência de compra com base em localização, que não armazena a localização do cliente e compartilha dados de localização com um número limitado de parceiros, mas que não tem relação com a Babel Street
- Mesmo quando o dispositivo de uma pessoa específica não é identificado diretamente, se o dispositivo de um familiar for identificado, torna-se fácil inferir também a localização de outras pessoas
Dados de lances publicitários e o ecossistema de MAID
- O MAID foi originalmente concebido como um identificador único para distinguir clientes móveis sem usar informações pessoalmente identificáveis, como número de telefone ou email
- Hoje existe uma indústria de empresas de marketing e publicidade que cria grandes listas “enriquecendo” o MAID com dados históricos e informações pessoais
- O investigador da Atlas verificou se seria possível encontrar registros enriquecidos de MAID dos clientes de segurança pública de New Jersey e disse ter encontrado muitos corretores de dados publicitários tentando vender esse material
- Alguns vendedores forneciam apenas campos limitados, como nome, MAID e endereço de email
- Outros corretores vendiam registros mais detalhados, incluindo perfis de redes sociais, coordenadas GPS exatas e até categorias de consumo estimadas
- As fontes dos dados de MAID podem incluir apps como AccuWeather, GasBuddy, Grindr e MyFitnessPal, que podem coletar MAID e localização e vender essas informações a corretores
- Apenas visitar uma página da web com anúncios pelo smartphone já pode fazer com que o perfil de MAID e os dados de localização sejam compartilhados
- Nos milissegundos antes do carregamento do anúncio, o site envia um bid request a uma bolsa de anúncios, e isso pode incluir a localização exata do usuário
- O padrão público atual está documentado no OpenRTB
- O principal risco é que os dados de bidstream sejam enviados simultaneamente em texto claro para centenas de entidades ao redor do mundo, tornando o acesso efetivamente aberto a qualquer interessado
O dataset alemão e o estudo sobre visitantes da SEC
- O veículo alemão netzpolitik.org comprou no início de 2024 um dataset de bidstream com mais de 3,6 bilhões de pontos de dados e o compartilhou com a BR24
- Os dois veículos concluíram que, mesmo apenas com dados obtidos em teste gratuito, era possível montar perfis de deslocamento de milhões de pessoas em toda a Alemanha
- Um estudo citado pela Politico mostrou que pesquisadores universitários de New Hampshire, Kentucky e St. Louis usaram dados de publicidade móvel para relacionar visitas de investigadores da SEC a vendas de ações feitas por insiders antes da divulgação da investigação
- Os pesquisadores disseram que não rastrearam reguladores de outras agências da mesma forma, mas afirmaram que, na prática, qualquer pessoa poderia fazê-lo
- Justin Sherman, do Georgetown Law Center for Privacy and Technology, avaliou que isso mostra as consequências de empresas coletarem livremente dados de localização de americanos e venderem essas informações pelo preço que quiserem
Preocupações com rastreamento de localização ligado ao aborto
- A decisão Dobbs da Suprema Corte dos EUA em 2022 eliminou o direito federal ao aborto, e desde então 14 estados passaram a aplicar proibições rigorosas
- Em maio de 2023, o The Wall Street Journal noticiou que um grupo antiaborto de Wisconsin usou dados precisos de localização para enviar anúncios a mulheres suspeitas de buscar aborto
- Hoje quase não há mecanismos que impeçam grupos antiaborto de comprar dados de bidstream ou alugar acesso a plataformas como a Babel Street para fazer geofencing de clínicas de aborto e revelar dispositivos móveis que frequentam esses locais
- O investigador da Atlas disse que conseguiu aplicar geofencing em uma clínica de aborto, identificar uma pessoa que parecia ser funcionária e seguir seu endereço residencial e seu trajeto diário de ida e volta ao trabalho
- Também afirmou ter identificado e rastreado com a Babel Street uma pessoa que saiu de casa no Alabama, foi até uma clínica em Tallahassee, Florida, onde o aborto é legal, e voltou algumas horas depois
- Eva Galperin, da EFF, disse estar extremamente preocupada com a vigilância em massa direcionada a pessoas que cruzam fronteiras estaduais para obter aborto
Diferenças entre Android e iPhone
- A Atlas avalia que, normalmente por US$ 10 mil a US$ 50 mil por ano, corretores podem oferecer acesso a dezenas de bilhões de pontos de dados cobrindo populações dos EUA e de várias partes do mundo
- Os datasets obtidos pela Atlas continham muitos registros antigos de MAID, e com base nisso a empresa estimou ser possível localizar cerca de 80% dos dispositivos Android e cerca de 25% dos aparelhos Apple
- O Google chama o MAID de Android Advertising ID (AAID), e a Apple o chama de Identifier for Advertisers (IDFA)
- Em abril de 2021, no iOS 14.5, a Apple introduziu o App Tracking Transparency (ATT), exigindo consentimento explícito antes que apps rastreiem usuários com o IDFA ou outros identificadores
- A introdução do ATT teve grande impacto no mercado publicitário, e o Facebook chegou a dizer que esse recurso de privacidade do iPhone reduziria sua receita em cerca de US$ 10 bilhões em 2022
- O Departamento de Justiça dos EUA estima que a bolsa de anúncios AdX do Google controle 47% do mercado americano e 56% do mercado global
- O Android responde por mais de 72% do mercado mundial de sistemas operacionais móveis, enquanto nos EUA o iPhone representa cerca de 55% do uso
A posição do Google e da Apple
- O Google afirmou que não envia solicitações de lance em tempo real para a Babel Street e que não compartilha dados de localização exata em solicitações de lance
- Segundo a empresa, suas políticas proíbem explicitamente vender dados de leilão em tempo real ou usá-los para fins que não sejam publicidade
- O Google explicou que o MAID é gerado aleatoriamente, não inclui endereço IP, coordenadas GPS nem outros dados de localização, e que seus sistemas de anúncios não compartilham a localização exata de ninguém
- O Android oferece controles para gerenciar o acesso de apps à localização do dispositivo e para redefinir ou excluir o ID de publicidade
- A Apple disse que o Location Services não vem ativado por padrão no dispositivo, e que os dados de localização só são usados se o usuário ativar o recurso e conceder permissão a cada app ou site
- Usuários Apple podem desativar os serviços de localização a qualquer momento e também mudar as permissões de acesso por app
- As opções incluem localização precisa, localização aproximada e permissão única de acesso à localização
- Zach Edwards, da SilentPush, disse que os riscos de privacidade continuarão até que Apple e Google desliguem de forma permanente o sistema de IDs de publicidade móvel e reconheçam que essa tecnologia sustentou o ecossistema global de corretores de dados
Respostas legais em nível estadual e disputa constitucional
- Segundo a Bloomberg Law, as ameaças contra juízes federais mais que dobraram entre 2019 e 2023
- Com o aumento de investigações políticas hostis e teorias conspiratórias contra autoridades públicas, vários estados passaram a propor leis semelhantes à Daniel’s Law
- Um policial aposentado de West Virginia entrou com uma ação coletiva contra o serviço de busca de pessoas Whitepages, alegando violação de uma lei estadual semelhante à Daniel’s Law aprovada em 2021
- Em maio de 2024, Maryland aprovou a Judge Andrew F. Wilkinson Judicial Security Act
- A lei recebeu o nome do juiz do tribunal de circuito do condado Andrew F. Wilkinson, que foi assassinado
- Ela permite que membros atuais e antigos do Judiciário de Maryland peçam que suas informações pessoais não sejam divulgadas
- As informações pessoais podem incluir endereço residencial, número de telefone, email, Social Security number ou identificação fiscal federal, números bancários ou de cartão, identificadores de veículo, registros de nascimento e casamento, nomes e escola ou creche dos filhos, local de culto e locais de trabalho de cônjuge, filhos e dependentes
- A Troutman Pepper escreveu em 2024 que 37 estados analisaram ou adotaram projetos semelhantes de privacidade para proteger integrantes do Judiciário e, em alguns estados, autoridades públicas ligadas à segurança pública
- A Atlas alega que a LexisNexis, ao responder a pedidos de remoção de dados de clientes da segurança pública de New Jersey, congelou indevidamente o crédito de cerca de 18.500 pessoas e as reportou falsamente como vítimas de roubo de identidade
- O setor de corretores de dados transferiu pelo menos 70 das ações da Atlas para tribunais federais e argumenta que a lei de New Jersey é excessivamente ampla e viola a Primeira Emenda da Constituição dos EUA
- O juiz responsável deve decidir nas próximas semanas sobre os pedidos de rejeição, e independentemente do resultado a decisão provavelmente será apelada até a Suprema Corte dos EUA
- Especialistas em direito da mídia temem que, se leis como a Daniel’s Law forem adotadas em outros estados, elas limitem a capacidade da imprensa de fiscalizar autoridades públicas e possam até expor a punições criminais veículos que reportem registros públicos e governamentais que alimentam a indústria de busca de pessoas
Ausência do Congresso e regulação dos corretores de dados
- O senador Ron Wyden disse que a atual crise de privacidade existe porque o Congresso não conseguiu regular os corretores de dados e porque o Executivo continua se opondo a uma legislação bipartidária para limitar a venda de dados a órgãos de segurança pública
- Wyden alertou que dados de localização podem ser usados para identificar e expor americanos LGBTQ+ ou rastrear pessoas que cruzam fronteiras estaduais para receber cuidados de saúde reprodutiva
- Ele também criticou o fato de corretores de dados venderem por alguns dólares os segredos mais íntimos dos americanos, expondo essas pessoas a graves danos
- Wyden considera que o Google também tem responsabilidade por não ter eliminado, como a Apple fez, a capacidade de empresas rastrearem celulares
- Justin Sherman disse que corretores de dados e a indústria de publicidade móvel falam em anonimização, restrições de acesso e limites do que pode ser inferido a partir de dados de localização, mas que na prática é possível inferir vítimas de abuso, condições de saúde, crenças religiosas, jurados, agentes da lei que visitam a casa de suspeitos e até funcionários de inteligência e seus contatos
Mudanças de configuração que o usuário pode fazer
- Especialistas em privacidade afirmam que desativar ou excluir o MAID do dispositivo não afeta o funcionamento do celular e pode reduzir drasticamente a publicidade direcionada naquele aparelho
- No Android, ao abrir o app Settings e ir em Location > App Permissions, é possível verificar quais apps têm permissão de localização
- Allowed all the time é a permissão mais ampla
- Depois vêm Allowed only while in use, Ask every time e Not allowed
- Usuários Android podem ir em Settings > Privacy > Ads e tocar em Delete advertising ID para apagar permanentemente o ID de publicidade
- Segundo a EFF, depois disso nenhum app no aparelho poderá acessar o ID de publicidade no futuro
- No iOS, por padrão, apps precisam pedir permissão antes de acessar o IDFA do dispositivo
- Ao instalar um app novo, se aparecer a mensagem pedindo autorização para rastrear, é possível escolher Ask App Not to Track
- Se a opção Allow apps to request to track estiver desativada, os apps não poderão nem fazer essa solicitação
- O sistema próprio de anúncios direcionados da Apple é separado do rastreamento de terceiros baseado em IDFA
- É preciso ir em Settings > Privacy > Apple Advertising e desativar Personalized Ads
- Quem costuma dar suporte técnico básico a familiares ou amigos também deve desativar o rastreamento nos dispositivos dessas pessoas e desligar apps que mantêm o compartilhamento de localização ativado 24 horas por dia
- Mesmo que seu próprio dispositivo não seja rastreado diretamente por dados de publicidade, se o dispositivo de alguém próximo for rastreado, sua localização também pode ser inferida
1 comentários
Comentários do Hacker News
Dá para discutir se a polícia deve ter acesso a esses dados e que tipo de regulamentação deve existir sobre a forma de acesso e os motivos para isso
Como as expectativas culturais sobre privacidade e segurança variam, talvez não exista uma única resposta certa, mas não dá para dizer que o estado atual de regulação zero esteja correto
É realmente absurdo que qualquer pessoa, bastando pagar, possa reunir dados de localização em altíssima resolução de outras pessoas
A divulgação era no estilo de achar um amigo para ir junto quando surgissem ingressos grátis para um jogo de beisebol no centro, mas as pessoas ficaram assustadas com o fato de o aparelho saber sua localização e isso fracassou completamente
A Nextel também lançou um app corporativo de rastreamento para empresas de entrega monitorarem a localização dos veículos e o tempo de parada, mas uma empresa cancelou a adoção após reação dos funcionários e outra, depois de instalar, enfrentou um processo por invasão de privacidade movido por empregados e removeu o sistema poucos meses depois
É estranho sentir que antes as pessoas não queriam isso, e agora passaram a simplesmente entregar todas as informações pessoais a empresas privadas
A primeira vez que me deparei com a ideia de dados de celular sendo vendidos a terceiros foi em 2003, quando fui à República Tcheca
Assim que cruzei a fronteira com a Áustria, comecei a receber SMS de spam no meu celular americano: primeiro uma mensagem de boas-vindas da operadora local, alguns minutos depois um aviso de roaming da T-Mobile, e em seguida anúncios de hotéis, restaurantes e cassinos
Se já era assim antes da era dos “smartphones”, não surpreende que hoje esteja muito pior
Não houve spam adicional, mas foi a primeira vez que pensei que os problemas técnicos de receber sinais de vários países perto da fronteira devem ser um desafio bastante “interessante”
O modo “noturno” da Babel Street facilita descobrir, com precisão de poucos metros, onde o alvo normalmente dorme todas as noites
Especialmente no caso de qualquer pessoa, incluindo forças de segurança, quase não há motivo para precisar desse tipo de recurso de estimativa de localização noturna, e todos os motivos que me vêm à mente parecem bem sombrios
Afinal, saber que o suspeito está dormindo reduz bastante a chance de a polícia levar tiros
Mas essa informação não é diretamente relevante para provar o caso, e sim apenas taticamente relevante, não estrategicamente
Por isso, fico pensando se não seriam necessárias salvaguardas ainda maiores que as da Quarta Emenda
Numa visão ingênua, se a informação não pode ser usada como prova para demonstrar o caso, então as forças de segurança também não deveriam poder acessá-la, e provavelmente ninguém deveria poder acessá-la
É só usar e configurar o Pi-Hole
Configuração do Pi-Hole: https://jeffmorhous.com/block-ads-for-your-entire-network-wi...
Vídeo para quem acha o YouTube mais prático: https://www.youtube.com/watch?v=eCA24qJBG8Q
Mesmo usando esse tipo de VPN, as interfaces de rede celular do Android e do iOS continuam mantendo uma rota alternativa embutida
Se ainda entrar em jogo Pi-Hole, configuração de LAN e DoH, a coisa fica mais complexa
Como disseram Krebs e as pessoas citadas por ele, já passou da hora de Apple e Google eliminarem completamente o MAID
Ainda assim, não deem downvote no comentário principal; bloqueadores de anúncios confiáveis devem ser usados em todo lugar possível
Conversei com alguém que trabalhou com anúncios do Google, e essa pessoa afirmou com convicção que esse tipo de rastreamento não é usado lá
Mas parece provável que, mesmo dentro dessas empresas, elas tentem esconder o nível de rastreamento que praticam
Para impedir isso, é preciso responsabilizar as empresas pelo que acontece por causa dos dados que coletaram
Se os dados reunidos pela empresa foram usados de forma inadequada, seja porque foram vendidos, roubados ou repassados, a empresa que os coletou deve pagar o preço
Grandes empresas e órgãos governamentais adoram dados
Setores como tecnologia e finanças, assim como a futura governança planejada — isto é, a tecnocracia — também se constroem sobre isso
No fim, a coleta de dados já faz parte do plano; resta apenas saber se o indivíduo pode ter conhecimento disso
Quando se vê quantas pessoas já sabiam desde o começo em tantos escândalos, e com que frequência abusos e crimes são acobertados ou explorados em vez de denunciados ou combatidos, a maldade parece algo extremamente comum
“A única condição necessária para o triunfo do mal é que as pessoas de bem não façam nada”
Empresas são, no fim das contas, grupos de pessoas, então talvez sejam necessários incentivos mais fortes para que as pessoas não deixem a “empresa” praticar coisas antissociais
Pelo menos para os executivos isso deveria valer
Pode ser que a empresa esteja escondendo as coisas, ou que as pessoas estejam mentindo para si mesmas
São pessoas inteligentes o bastante para descobrir, mas a partir de certo ponto isso vira ignorância deliberada
Com o tempo, parece que vai ficar cada vez mais claro que a única solução é criminalizar a própria posse desses dados e criar um procedimento para exigir indenização legal quando eles forem encontrados
Há o precedente da indústria fonográfica, em que o compartilhamento de músicas protegidas por direitos autorais acarreta indenizações automáticas sem necessidade de calcular o dano real
Esse procedimento já conta com mecanismos razoáveis para distinguir uso intencional de uso por engano
Assim surgiria uma indústria baseada em honorários de êxito para encontrar provas
Era ex-Xoogler (2011~2018)
Em certo momento, propôs a ideia de facilitar para o usuário “mentir” para os apps, por exemplo fornecendo dados de localização falsos quando um app pedisse localização
Isso poderia preservar uma escolha real do cliente em relação ao anonimato
A reação a essa ideia ensinou muita coisa sobre incentivos
Se não estiver preso a algo como um NDA, seria bom contar
A publicidade é, no fim, um vírus que infecta todo o ecossistema
porque ajuda pequenas empresas a competir com grandes corporações já conhecidas
Mas ninguém precisa desse tanto de dados
O que o anunciante precisa é algo como mostrar anúncio de sapato quando o usuário pesquisa sapatos no Google
Essa publicidade contextual é boa publicidade e às vezes também é útil para o usuário
O uso malicioso de anúncios na web e em apps é parecido com o uso malicioso de dinheiro vivo ou de quase qualquer coisa
A regulação é uma tentativa de reduzir esse dano, mas no fim é apenas um mecanismo para lidar indiretamente com a malícia humana
Se chamarmos esse nível insano de rastreamento detalhado pelo que ele realmente é, isso é stalking, e deveria ser crime
Se o espírito do nosso tempo é dominado pela disparidade na falta de misericórdia, então os dados pessoais das pessoas que trabalham com “publicidade” e na indústria de rastreamento, e também o que elas espionaram com sua tecnologia de vigilância, deveriam ir para um banco de dados público
Se existe um grande uso para o Google Glass, talvez seja vigiar os vigilantes
Fico curioso sobre como isso funciona no iOS depois que a Apple removeu o IDFA
O identificador de publicidade de um app específico (MAID) parece estar relacionado só àquele app, então não parece útil para criação de perfil, e também não sei bem como um app conseguiria acessar outros identificadores no iOS
Até os endereços MAC de Wi-Fi são randomizados
Indo um passo além, se você desligou o acesso à localização do app e também desativou o identificador global de publicidade, a busca descrita no artigo parece difícil
Quando o artigo fala em “25% dos celulares Apple”, está se referindo a dispositivos legados com versões antigas do iOS, de antes da remoção do IDFA?
Este relatório, na verdade, parece reforçar o que a Apple vem afirmando sobre o efeito dessa decisão