2 pontos por GN⁺ 2025-01-11 | 1 comentários | Compartilhar no WhatsApp
  • Arquivos do hack da Gravy Analytics revelaram os nomes de milhares de apps e dados de localização, reforçando a possibilidade de que apps populares tenham sido usados para coletar localização sensível por meio do ecossistema de publicidade, e não de SDKs inseridos por desenvolvedores
  • O principal caminho apontado é o fluxo de lances RTB em tempo real, no qual empresas conectadas podem coletar a localização do dispositivo e a localização baseada em IP mesmo sem veicular anúncios de fato
  • A lista inclui Candy Crush, Tinder, Grindr, MyFitnessPal, Flightradar24, Tumblr, Microsoft 365 e Yahoo Mail, além de apps de rastreamento de gravidez e menstruação, apps religiosos e apps de VPN
  • A Gravy vende dados de localização para clientes comerciais e também os forneceu a órgãos do governo dos EUA por meio da subsidiária Venntel; dados da Venntel também já foram usados em ferramentas de vigilância adquiridas pelo governo, como o Locate X
  • Mesmo que o desenvolvedor do app não adicione código direto de coleta de localização, os dados podem vazar durante o processo de leilão de anúncios, ampliando o foco da proteção do usuário do app em si para a cadeia de fornecimento de adtech

A cadeia de fornecimento de dados de localização revelada pelo hack da Gravy

  • Os arquivos hackeados incluíam milhares de apps de Android e iOS, e alguns arquivos registravam o nome do app ao lado de cada dado de localização
  • Os dados contêm dezenas de milhões de coordenadas de dispositivos móveis nos EUA, na Rússia e na Europa
  • Como a rota de coleta parece ter sido o ecossistema de publicidade, e não código inserido pelo criador do app, é possível que não só os usuários, mas também os próprios desenvolvedores, desconhecessem essa coleta
  • Alguns dados de localização não têm timestamp, mas a lista inclui Call of Duty: Mobile Season 5, lançado em maio de 2024, o que sugere que são dados de 2024
  • Não está claro se a Gravy coletou os dados diretamente, se os obteve de outras empresas, nem qual empresa de dados de localização passou a ser a proprietária final ou licenciada desses dados

Apps incluídos e lista pública

  • A 404 Media extraiu os nomes dos apps dos arquivos hackeados, montou uma lista e publicou a relação completa no Google Sheets
  • A lista cobre várias categorias, como jogos, namoro, saúde, transporte, trabalho, religião e VPN
    • Jogos: Candy Crush, Temple Run, Subway Surfers, Harry Potter: Puzzles & Spells
    • Apps de namoro: Tinder, Grindr
    • Apps de saúde e estilo de vida: MyFitnessPal, My Period Calendar & Tracker
    • Apps de transporte e aviação: Moovit, Flightradar24
    • Apps sociais e de produtividade: Tumblr, Yahoo Mail, Microsoft 365
    • Apps de categorias sensíveis: app de rastreamento de gravidez, app de oração muçulmano, app bíblico cristão e vários apps de VPN
  • A lista inclui apps de Android e iOS, e apps duplicados com nomes ligeiramente diferentes foram mantidos para facilitar a busca pelos apps instalados
  • Vários pesquisadores de segurança também divulgaram separadamente listas de apps com tamanhos diferentes

Por que o RTB foi apontado como caminho principal

  • Zach Edwards, da Silent Push, avaliou que os dados da Gravy parecem ser evidência pública de que eles foram obtidos não por código embutido no app, mas pelo fluxo de lances da publicidade online
  • No passado, empresas de dados de localização pagavam desenvolvedores para inserir pacotes de código de coleta de localização no app, mas hoje também se usa o método de obter essas informações no processo de leilão de anúncios dentro dos apps
  • No leilão em tempo real, empresas disputam espaços publicitários dentro de apps, e corretores de dados podem observar esse processo e coletar a localização de dispositivos móveis
  • Empresas de vigilância podem acessar dados de RTB ao adquirir companhias de adtech ou ao se comportar como potenciais anunciantes
    • Não é necessário vencer o leilão nem exibir o anúncio de fato
    • Basta estar conectado à indústria de publicidade para coletar dados do dispositivo
  • Nesse caso, os dados de localização podem incluir o endereço IP do usuário, e a conversão do IP em geolocalização pode fornecer uma localização aproximada

Indícios técnicos observados pelos pesquisadores

  • Krzysztof Franaszek, fundador da Adalytics, avaliou que parte dos dados provavelmente foi obtida via RTB relacionado à publicidade
  • O user-agent em alguns arquivos continha a string afma-sdk, usada no Google Mobile Ads SDK
  • Esse indício sugere que, em alguns casos, a plataforma de anúncios do Google entregou anúncios e que esse fluxo publicitário pode ter levado ao rastreamento por empresas externas ou potenciais contratadas do governo
  • Franaszek considera que uma parte significativa dos dados foi inferida por consulta de geolocalização baseada em endereço IP, e não por GNSS/GPS
  • Edwards avaliou que a enorme variedade de tipos de apps se parece mais com um padrão de coleta massiva por RTB do que com coleta baseada em SDK
  • Google e Apple não responderam a vários pedidos de comentário

A conexão entre Gravy, Venntel e ferramentas de vigilância governamental

  • A Gravy é uma empresa que reúne dados de localização móvel de várias fontes e os vende para empresas comerciais
  • Por meio da subsidiária Venntel, também vendeu dados de localização a órgãos do governo dos EUA
  • Entre os clientes da Venntel já estiveram Immigration and Customs Enforcement, Customs and Border Protection, IRS, FBI e Drug Enforcement Administration
  • A Venntel forneceu dados-base para o Locate X, ferramenta de vigilância adquirida pelo governo e vendida pela Babel Street
  • A 404 Media e outros veículos mostraram no ano passado que o Locate X pode ser usado para monitorar visitantes de clínicas de aborto fora do estado

Reação das empresas dos apps

  • A Flightradar24 respondeu que nunca tinha ouvido falar da Gravy, mas que exibe anúncios, e que esses anúncios ajudam a manter o Flightradar24 gratuito
  • O Tinder respondeu que não tem relação com a Gravy Analytics e que não há evidência de que esses dados tenham vindo do app do Tinder, mas não respondeu às perguntas sobre anúncios dentro do app
  • O Muslim Pro respondeu que não conhece a Gravy e que exibe anúncios por várias redes de publicidade para sustentar a versão gratuita, mas que não autoriza essas redes a coletarem dados de localização dos usuários
  • O Grindr respondeu que nunca trabalhou com a Gravy Analytics nem forneceu dados a ela, que não compartilha dados com agregadores ou corretores de dados e que há vários anos não compartilha informações de localização com parceiros de publicidade
  • A maioria dos desenvolvedores de apps e empresas não respondeu aos pedidos de comentário

Regulação e verificação dos dados

  • Em dezembro de 2024, a FTC proibiu a Mobilewalla de coletar dados de consumidores em leilões de publicidade online e usá-los para fins além da participação no leilão
  • A FTC afirmou que a Venntel e a Gravy coletaram dados sem consentimento do usuário e ordenou a exclusão de dados de localização antigos
  • Também foi proibida a venda de dados ligados a locais sensíveis, como clínicas de saúde e locais de culto, embora permaneçam exceções limitadas ligadas à segurança nacional ou à aplicação da lei
  • A 404 Media verificou os dados hackeados da Gravy de várias formas
    • Alguns arquivos incluíam credenciais de instância da Gravy no Snowflake, ferramenta de data warehousing
    • Foi verificado se as URLs dos arquivos hackeados correspondiam a instâncias reais do Snowflake
    • O arquivo users continha uma lista de empresas, e algumas delas negaram relação com a Gravy
  • A Cuebiq respondeu que avalia regularmente dados de mercado, mas que esse caso foi um teste com amostra limitada, não fornecido a clientes e apagado após o fim do teste
  • A Datonics respondeu que o segment ID presente nos arquivos não era da Datonics, mas da Gravy
  • A Unacast, que se fundiu com a Gravy em 2023, não respondeu a vários pedidos de comentário sobre o hack e sobre a derivação de dados de localização com base em RTB

1 comentários

 
GN⁺ 2025-01-11
Comentários do Hacker News
  • Sempre que um pequeno banner de anúncio aparece na parte de baixo de um app, acontece um leilão instantâneo por aquele espaço publicitário
    Quando o Google repassa informações aos licitantes, eles calculam quanto pagar para exibir o anúncio
    Ou seja, até quem perde o leilão recebe a cascata de dados, e existem empresas cujo objetivo é justamente perder o leilão para coletar dados
    Portanto, não surpreende que a In-Q-Tel, o braço de investimentos não sigiloso da CIA, tenha investido nesse tipo de análise, ou seja, em empresas de vigilância digital

    • Este link afirma claramente que os dados são recebidos mesmo sem vencer o leilão
      https://www.ftc.gov/news-events/news/press-releases/2024/12/...
      Trata-se da acusação da FTC de que a Mobilewalla coletou e armazenou indevidamente informações de solicitações de lance ao disputar espaços publicitários de clientes em uma bolsa de lances publicitários em tempo real, mesmo quando não vencia
      De janeiro de 2018 a junho de 2020, ela coletou mais de 500 milhões de identificadores únicos de publicidade de consumidores junto com dados de localização precisa, e os dados brutos de localização não eram anonimizados nem havia política de remoção de locais sensíveis, o que permitia identificar dispositivos individuais e os lugares visitados
      Dizem que ela vendeu esse acesso aos dados brutos a terceiros, como anunciantes, corretores de dados e empresas de análise
    • Os clientes de publicidade não veem os dados; apenas algumas poucas bolsas veem
      Ao participar de header bidding, você obtém dados parecidos com os que veria ao operar um site móvel popular
      Não surpreende a In-Q-Tel investir em um bom negócio de arbitragem como uma bolsa; parece apenas bons investidores fazendo bons investimentos, e não uma estratégia cínica de vigilância
    • Essas “empresas cujo objetivo é perder o leilão, mas coletar dados” violam os termos do Google
      Mas o Google não reprime isso, porque é uma forma de vender dados de usuários sem vender explicitamente dados de usuários
    • Gostaria de saber onde é possível se inscrever para receber essa cascata de dados
      Eu ingenuamente achava que o Google processava esses lances internamente
    • Fico curioso se isso é legal na Europa e se é uma prática comum
  • Uma parte não abordada no artigo é como a localização é coletada
    Chamar geolocalização por IP de coleta de dados de localização é um pouco forçado, e em geral ela é menos precisa do que obter geolocalização diretamente, então não haveria necessidade de comprá-la de um corretor
    No Android, porém, tanto ACCESS_COARSE_LOCATION quanto ACCESS_FINE_LOCATION exigem diálogo de permissão, então fico curioso sobre como isso funciona exatamente

    • Pelo menos uma parte, talvez a maior parte, parece ter sido derivada do endereço IP usado no processo de lances publicitários
      Há um trecho dizendo: “Uma parte significativa deste conjunto de dados de geolocalização parece ter sido inferida consultando a geolocalização de endereços IP. Em outras palavras, isso significa que o fornecedor ou sua fonte determina a geolocalização verificando o endereço IP do usuário, e não dados GNSS/GPS. Isso sugere que os dados não vieram exclusivamente de SDKs de dados de localização”
    • Não acho exagero considerar problemático rastrear todos os IPs usados por um jogo e tentar inferir localização a partir disso
      Um jogo não deveria tentar rastrear minha localização de forma alguma, e não deveria receber passe livre só porque a precisão técnica é baixa
    • Esses espaços publicitários usam o app de sistema padrão do Google Android, os serviços GMS, e esse app tem acesso a praticamente todas as permissões do dispositivo, inclusive localização
      https://developers.google.com/android/reference/com/google/a...
    • O Tinder é um serviço baseado em localização, então provavelmente a coleta acontece por aí
      Sobre os outros apps, não sei bem
  • comm -12 <(cat gravy_app_list\ -\ count.csv| uvx --from csvkit csvcut -c 2 | rg '\.' | sort) <(adb shell pm list packages -3 | cut -f 2 -d ":" | sort)
    O CSV pode ser baixado em https://docs.google.com/spreadsheets/d/1Ukgd0gIWd9gpV6bOx2pc... para verificar se há correspondências entre os apps do seu celular
    Olhando a minha lista, fiquei com duas dúvidas: qual é um bom app alternativo ao PodcastAddict, se na versão paga não só os anúncios na tela somem mas também todo o tráfego de anúncios é interrompido, e como o MS Outlook foi parar nessa lista para começo de conversa

    • AntennaPod
    • Essa lista é suspeita
      O PodcastAddict nem sequer pede permissão de localização[1]
      Então como ele poderia acessar a localização? Se você ler a matéria com atenção, ela deixa a ressalva de que a localização pode não ter vindo do app da Gravy
      No melhor dos casos, daria para obter localização por IP, e isso já é uma informação exposta a qualquer site que você visita
      Há um trecho dizendo: “Esse conjunto de dados parece ter vindo do hack da Gravy, mas não está claro se a Gravy coletou esses dados de localização diretamente, se os obteve de outra empresa, ou qual empresa de dados de localização acabou sendo proprietária deles ou licenciada para usá-los”
      [1] https://play.google.com/store/apps/details?id=com.bambuna.po...
    • Perguntei ao desenvolvedor do Podcast Addict junto com a matéria, e a resposta dele foi exatamente esta
      “Olá, não entendo que email é esse. Obviamente, todo app de podcast se conecta a conteúdo de terceiros para fazer streaming, então as plataformas de hospedagem, os serviços de rastreamento e os serviços de anúncios usados pelos podcasters podem acessar o endereço IP do usuário.
      Dizer que um app de podcast vaza o endereço IP é tão absurdo quanto dizer isso de um navegador web. Ele é apenas uma ferramenta para se conectar a conteúdo de terceiros e, a menos que você use uma VPN, os servidores aos quais você se conecta sempre podem acessar seu endereço IP.
      O app não tem a localização do usuário. Como você pode ver, ele não pede permissão de localização, então não há informação de localização para o app compartilhar. No entanto, o IP obviamente fica exposto a qualquer servidor ao qual ele se conecta.
      Xavier”
    • É mais fácil bloquear servidores de anúncios no nível de DNS
      Como dá para configurar, eu uso o NextDNS [1], e o DNS do AdGuard [2] provavelmente também funciona bem
      1. https://nextdns.io/
      2. https://adguard-dns.io/en/welcome.html
    • Uma forma com menos dependências é grep -f gravy_app_list\ -\ count.csv <(adb shell pm list packages -3 | cut -d":" -f2)
  • Publicidade é um vírus que infecta todo o ecossistema

    • Ainda há muitos mistérios não resolvidos sobre vírus, eles podem ser mais importantes para o funcionamento do ecossistema do que imaginamos, e também têm truques úteis que só vírus conseguem fazer
      Isso se parece mais com intoxicação por chumbo
    • Publicidade é mais parecida com um vetor de transmissão ideal para espalhar coisas nocivas
      Não há nada intrinsecamente errado nisso, mas pessoas mal-intencionadas adoram
  • Post relacionado: FTC toma medidas contra Gravy Analytics e Venntel por venderem dados de localização, 194 pontos·158 comentários
    https://news.ycombinator.com/item?id=42309429

  • https://web.archive.org/web/20250109211053/https://www.wired...
    https://archive.ph/Danyk

  • Queria entender se isso significa que esses apps conseguem contornar as permissões do sistema operacional sobre permitir ou não dados de localização

    • No iOS, queria saber se os apps não estariam abusando da Atualização em 2º Plano
      Pelo que entendo, não é difícil criar uma tarefa em segundo plano que envie requisições de rede periodicamente
      A tarefa em segundo plano poderia enviar uma requisição HTTP para o servidor da rede de anúncios contendo algum identificador único, e o servidor processaria a geolocalização por IP
      Em muitas redes móveis a precisão não seria alta, mas alguns ISPs segmentam o IP até o nível do bairro, então no Wi‑Fi isso pode ficar bem detalhado
      Prevendo essa possibilidade, deixei desativada a Atualização em 2º Plano para quase todos os apps, e isso não prejudicou minha experiência com os apps
      Usando o 1Blocker, que cria uma VPN dummy no dispositivo para bloquear requisições de IP de rastreadores no iOS, vi que, ao desativar a Atualização em 2º Plano, o número de requisições bloqueadas caiu bastante
      Algumas eram diagnósticos inofensivos, como o Sentry, mas a maioria não era
      Seria bom se alguém familiarizado com desenvolvimento para iOS pudesse explicar se isso é realmente possível, considerando as limitações de execução de tarefas em segundo plano
    • O texto diz que “uma parte significativa desse conjunto de dados de geolocalização parece ter sido inferida consultando endereços IP para obter a localização geográfica. Ou seja, o fornecedor ou sua fonte verifica o endereço IP do usuário para derivar a geolocalização, em vez de usar dados GNSS/GPS. Isso sugere que os dados não vieram inteiramente de SDKs de dados de localização”
      Provavelmente, se a permissão estiver ativada, usam a localização; se não, é bem possível que substituam por geolocalização por IP
      Leilão em tempo real é um pesadelo do ponto de vista de privacidade, porque espalha o comportamento do usuário em tempo real para todos os fornecedores de anúncios, apoiando-se numa promessa de dedo mindinho de que “não vamos abusar disso”
    • Não
      Onde há dados de localização precisa, é porque o usuário concedeu a permissão
      Não sei por que Candy Crush precisaria de localização precisa, mas tenho bastante certeza de que o CC nem pede esse tipo de permissão
  • Pessoalmente, estou esperando a hora de o Tinder apanhar do governo
    O poder de monopólio que passou a ter depois de juntar vários apps de namoro é realmente absurdo
    Todo mundo reclama das externalidades sociais geradas pela ascensão da internet, mas no longo prazo é difícil pensar em muitas variáveis mais importantes do que essa para o sucesso de um país

    • Queria entender qual é exatamente o problema com o Tinder
      Nunca usei, mas penso mais ou menos nele como um Facebook voltado para sexo
      É pior do que os serviços da Meta?