- Arquivos do hack da Gravy Analytics revelaram os nomes de milhares de apps e dados de localização, reforçando a possibilidade de que apps populares tenham sido usados para coletar localização sensível por meio do ecossistema de publicidade, e não de SDKs inseridos por desenvolvedores
- O principal caminho apontado é o fluxo de lances RTB em tempo real, no qual empresas conectadas podem coletar a localização do dispositivo e a localização baseada em IP mesmo sem veicular anúncios de fato
- A lista inclui Candy Crush, Tinder, Grindr, MyFitnessPal, Flightradar24, Tumblr, Microsoft 365 e Yahoo Mail, além de apps de rastreamento de gravidez e menstruação, apps religiosos e apps de VPN
- A Gravy vende dados de localização para clientes comerciais e também os forneceu a órgãos do governo dos EUA por meio da subsidiária Venntel; dados da Venntel também já foram usados em ferramentas de vigilância adquiridas pelo governo, como o Locate X
- Mesmo que o desenvolvedor do app não adicione código direto de coleta de localização, os dados podem vazar durante o processo de leilão de anúncios, ampliando o foco da proteção do usuário do app em si para a cadeia de fornecimento de adtech
A cadeia de fornecimento de dados de localização revelada pelo hack da Gravy
- Os arquivos hackeados incluíam milhares de apps de Android e iOS, e alguns arquivos registravam o nome do app ao lado de cada dado de localização
- Os dados contêm dezenas de milhões de coordenadas de dispositivos móveis nos EUA, na Rússia e na Europa
- Como a rota de coleta parece ter sido o ecossistema de publicidade, e não código inserido pelo criador do app, é possível que não só os usuários, mas também os próprios desenvolvedores, desconhecessem essa coleta
- Alguns dados de localização não têm timestamp, mas a lista inclui Call of Duty: Mobile Season 5, lançado em maio de 2024, o que sugere que são dados de 2024
- Não está claro se a Gravy coletou os dados diretamente, se os obteve de outras empresas, nem qual empresa de dados de localização passou a ser a proprietária final ou licenciada desses dados
Apps incluídos e lista pública
- A 404 Media extraiu os nomes dos apps dos arquivos hackeados, montou uma lista e publicou a relação completa no Google Sheets
- A lista cobre várias categorias, como jogos, namoro, saúde, transporte, trabalho, religião e VPN
- Jogos: Candy Crush, Temple Run, Subway Surfers, Harry Potter: Puzzles & Spells
- Apps de namoro: Tinder, Grindr
- Apps de saúde e estilo de vida: MyFitnessPal, My Period Calendar & Tracker
- Apps de transporte e aviação: Moovit, Flightradar24
- Apps sociais e de produtividade: Tumblr, Yahoo Mail, Microsoft 365
- Apps de categorias sensíveis: app de rastreamento de gravidez, app de oração muçulmano, app bíblico cristão e vários apps de VPN
- A lista inclui apps de Android e iOS, e apps duplicados com nomes ligeiramente diferentes foram mantidos para facilitar a busca pelos apps instalados
- Vários pesquisadores de segurança também divulgaram separadamente listas de apps com tamanhos diferentes
Por que o RTB foi apontado como caminho principal
- Zach Edwards, da Silent Push, avaliou que os dados da Gravy parecem ser evidência pública de que eles foram obtidos não por código embutido no app, mas pelo fluxo de lances da publicidade online
- No passado, empresas de dados de localização pagavam desenvolvedores para inserir pacotes de código de coleta de localização no app, mas hoje também se usa o método de obter essas informações no processo de leilão de anúncios dentro dos apps
- No leilão em tempo real, empresas disputam espaços publicitários dentro de apps, e corretores de dados podem observar esse processo e coletar a localização de dispositivos móveis
- Empresas de vigilância podem acessar dados de RTB ao adquirir companhias de adtech ou ao se comportar como potenciais anunciantes
- Não é necessário vencer o leilão nem exibir o anúncio de fato
- Basta estar conectado à indústria de publicidade para coletar dados do dispositivo
- Nesse caso, os dados de localização podem incluir o endereço IP do usuário, e a conversão do IP em geolocalização pode fornecer uma localização aproximada
Indícios técnicos observados pelos pesquisadores
- Krzysztof Franaszek, fundador da Adalytics, avaliou que parte dos dados provavelmente foi obtida via RTB relacionado à publicidade
- O user-agent em alguns arquivos continha a string
afma-sdk, usada no Google Mobile Ads SDK - Esse indício sugere que, em alguns casos, a plataforma de anúncios do Google entregou anúncios e que esse fluxo publicitário pode ter levado ao rastreamento por empresas externas ou potenciais contratadas do governo
- Franaszek considera que uma parte significativa dos dados foi inferida por consulta de geolocalização baseada em endereço IP, e não por GNSS/GPS
- Edwards avaliou que a enorme variedade de tipos de apps se parece mais com um padrão de coleta massiva por RTB do que com coleta baseada em SDK
- Google e Apple não responderam a vários pedidos de comentário
A conexão entre Gravy, Venntel e ferramentas de vigilância governamental
- A Gravy é uma empresa que reúne dados de localização móvel de várias fontes e os vende para empresas comerciais
- Por meio da subsidiária Venntel, também vendeu dados de localização a órgãos do governo dos EUA
- Entre os clientes da Venntel já estiveram Immigration and Customs Enforcement, Customs and Border Protection, IRS, FBI e Drug Enforcement Administration
- A Venntel forneceu dados-base para o Locate X, ferramenta de vigilância adquirida pelo governo e vendida pela Babel Street
- A 404 Media e outros veículos mostraram no ano passado que o Locate X pode ser usado para monitorar visitantes de clínicas de aborto fora do estado
Reação das empresas dos apps
- A Flightradar24 respondeu que nunca tinha ouvido falar da Gravy, mas que exibe anúncios, e que esses anúncios ajudam a manter o Flightradar24 gratuito
- O Tinder respondeu que não tem relação com a Gravy Analytics e que não há evidência de que esses dados tenham vindo do app do Tinder, mas não respondeu às perguntas sobre anúncios dentro do app
- O Muslim Pro respondeu que não conhece a Gravy e que exibe anúncios por várias redes de publicidade para sustentar a versão gratuita, mas que não autoriza essas redes a coletarem dados de localização dos usuários
- O Grindr respondeu que nunca trabalhou com a Gravy Analytics nem forneceu dados a ela, que não compartilha dados com agregadores ou corretores de dados e que há vários anos não compartilha informações de localização com parceiros de publicidade
- A maioria dos desenvolvedores de apps e empresas não respondeu aos pedidos de comentário
Regulação e verificação dos dados
- Em dezembro de 2024, a FTC proibiu a Mobilewalla de coletar dados de consumidores em leilões de publicidade online e usá-los para fins além da participação no leilão
- A FTC afirmou que a Venntel e a Gravy coletaram dados sem consentimento do usuário e ordenou a exclusão de dados de localização antigos
- Também foi proibida a venda de dados ligados a locais sensíveis, como clínicas de saúde e locais de culto, embora permaneçam exceções limitadas ligadas à segurança nacional ou à aplicação da lei
- A 404 Media verificou os dados hackeados da Gravy de várias formas
- Alguns arquivos incluíam credenciais de instância da Gravy no Snowflake, ferramenta de data warehousing
- Foi verificado se as URLs dos arquivos hackeados correspondiam a instâncias reais do Snowflake
- O arquivo
userscontinha uma lista de empresas, e algumas delas negaram relação com a Gravy
- A Cuebiq respondeu que avalia regularmente dados de mercado, mas que esse caso foi um teste com amostra limitada, não fornecido a clientes e apagado após o fim do teste
- A Datonics respondeu que o segment ID presente nos arquivos não era da Datonics, mas da Gravy
- A Unacast, que se fundiu com a Gravy em 2023, não respondeu a vários pedidos de comentário sobre o hack e sobre a derivação de dados de localização com base em RTB
1 comentários
Comentários do Hacker News
Sempre que um pequeno banner de anúncio aparece na parte de baixo de um app, acontece um leilão instantâneo por aquele espaço publicitário
Quando o Google repassa informações aos licitantes, eles calculam quanto pagar para exibir o anúncio
Ou seja, até quem perde o leilão recebe a cascata de dados, e existem empresas cujo objetivo é justamente perder o leilão para coletar dados
Portanto, não surpreende que a In-Q-Tel, o braço de investimentos não sigiloso da CIA, tenha investido nesse tipo de análise, ou seja, em empresas de vigilância digital
https://www.ftc.gov/news-events/news/press-releases/2024/12/...
Trata-se da acusação da FTC de que a Mobilewalla coletou e armazenou indevidamente informações de solicitações de lance ao disputar espaços publicitários de clientes em uma bolsa de lances publicitários em tempo real, mesmo quando não vencia
De janeiro de 2018 a junho de 2020, ela coletou mais de 500 milhões de identificadores únicos de publicidade de consumidores junto com dados de localização precisa, e os dados brutos de localização não eram anonimizados nem havia política de remoção de locais sensíveis, o que permitia identificar dispositivos individuais e os lugares visitados
Dizem que ela vendeu esse acesso aos dados brutos a terceiros, como anunciantes, corretores de dados e empresas de análise
Ao participar de header bidding, você obtém dados parecidos com os que veria ao operar um site móvel popular
Não surpreende a In-Q-Tel investir em um bom negócio de arbitragem como uma bolsa; parece apenas bons investidores fazendo bons investimentos, e não uma estratégia cínica de vigilância
Mas o Google não reprime isso, porque é uma forma de vender dados de usuários sem vender explicitamente dados de usuários
Eu ingenuamente achava que o Google processava esses lances internamente
Uma parte não abordada no artigo é como a localização é coletada
Chamar geolocalização por IP de coleta de dados de localização é um pouco forçado, e em geral ela é menos precisa do que obter geolocalização diretamente, então não haveria necessidade de comprá-la de um corretor
No Android, porém, tanto ACCESS_COARSE_LOCATION quanto ACCESS_FINE_LOCATION exigem diálogo de permissão, então fico curioso sobre como isso funciona exatamente
Há um trecho dizendo: “Uma parte significativa deste conjunto de dados de geolocalização parece ter sido inferida consultando a geolocalização de endereços IP. Em outras palavras, isso significa que o fornecedor ou sua fonte determina a geolocalização verificando o endereço IP do usuário, e não dados GNSS/GPS. Isso sugere que os dados não vieram exclusivamente de SDKs de dados de localização”
Um jogo não deveria tentar rastrear minha localização de forma alguma, e não deveria receber passe livre só porque a precisão técnica é baixa
https://developers.google.com/android/reference/com/google/a...
Sobre os outros apps, não sei bem
comm -12 <(cat gravy_app_list\ -\ count.csv| uvx --from csvkit csvcut -c 2 | rg '\.' | sort) <(adb shell pm list packages -3 | cut -f 2 -d ":" | sort)O CSV pode ser baixado em https://docs.google.com/spreadsheets/d/1Ukgd0gIWd9gpV6bOx2pc... para verificar se há correspondências entre os apps do seu celular
Olhando a minha lista, fiquei com duas dúvidas: qual é um bom app alternativo ao PodcastAddict, se na versão paga não só os anúncios na tela somem mas também todo o tráfego de anúncios é interrompido, e como o MS Outlook foi parar nessa lista para começo de conversa
O PodcastAddict nem sequer pede permissão de localização[1]
Então como ele poderia acessar a localização? Se você ler a matéria com atenção, ela deixa a ressalva de que a localização pode não ter vindo do app da Gravy
No melhor dos casos, daria para obter localização por IP, e isso já é uma informação exposta a qualquer site que você visita
Há um trecho dizendo: “Esse conjunto de dados parece ter vindo do hack da Gravy, mas não está claro se a Gravy coletou esses dados de localização diretamente, se os obteve de outra empresa, ou qual empresa de dados de localização acabou sendo proprietária deles ou licenciada para usá-los”
[1] https://play.google.com/store/apps/details?id=com.bambuna.po...
“Olá, não entendo que email é esse. Obviamente, todo app de podcast se conecta a conteúdo de terceiros para fazer streaming, então as plataformas de hospedagem, os serviços de rastreamento e os serviços de anúncios usados pelos podcasters podem acessar o endereço IP do usuário.
Dizer que um app de podcast vaza o endereço IP é tão absurdo quanto dizer isso de um navegador web. Ele é apenas uma ferramenta para se conectar a conteúdo de terceiros e, a menos que você use uma VPN, os servidores aos quais você se conecta sempre podem acessar seu endereço IP.
O app não tem a localização do usuário. Como você pode ver, ele não pede permissão de localização, então não há informação de localização para o app compartilhar. No entanto, o IP obviamente fica exposto a qualquer servidor ao qual ele se conecta.
Xavier”
Como dá para configurar, eu uso o NextDNS [1], e o DNS do AdGuard [2] provavelmente também funciona bem
grep -f gravy_app_list\ -\ count.csv <(adb shell pm list packages -3 | cut -d":" -f2)Publicidade é um vírus que infecta todo o ecossistema
Isso se parece mais com intoxicação por chumbo
Não há nada intrinsecamente errado nisso, mas pessoas mal-intencionadas adoram
Post relacionado: FTC toma medidas contra Gravy Analytics e Venntel por venderem dados de localização, 194 pontos·158 comentários
https://news.ycombinator.com/item?id=42309429
https://web.archive.org/web/20250109211053/https://www.wired...
https://archive.ph/Danyk
https://docs.google.com/spreadsheets/d/1Ukgd0gIWd9gpV6bOx2pc...
https://gist.github.com/fs0c131y/f498b21cba9ee23956fc7d76292...
Queria entender se isso significa que esses apps conseguem contornar as permissões do sistema operacional sobre permitir ou não dados de localização
Pelo que entendo, não é difícil criar uma tarefa em segundo plano que envie requisições de rede periodicamente
A tarefa em segundo plano poderia enviar uma requisição HTTP para o servidor da rede de anúncios contendo algum identificador único, e o servidor processaria a geolocalização por IP
Em muitas redes móveis a precisão não seria alta, mas alguns ISPs segmentam o IP até o nível do bairro, então no Wi‑Fi isso pode ficar bem detalhado
Prevendo essa possibilidade, deixei desativada a Atualização em 2º Plano para quase todos os apps, e isso não prejudicou minha experiência com os apps
Usando o 1Blocker, que cria uma VPN dummy no dispositivo para bloquear requisições de IP de rastreadores no iOS, vi que, ao desativar a Atualização em 2º Plano, o número de requisições bloqueadas caiu bastante
Algumas eram diagnósticos inofensivos, como o Sentry, mas a maioria não era
Seria bom se alguém familiarizado com desenvolvimento para iOS pudesse explicar se isso é realmente possível, considerando as limitações de execução de tarefas em segundo plano
Provavelmente, se a permissão estiver ativada, usam a localização; se não, é bem possível que substituam por geolocalização por IP
Leilão em tempo real é um pesadelo do ponto de vista de privacidade, porque espalha o comportamento do usuário em tempo real para todos os fornecedores de anúncios, apoiando-se numa promessa de dedo mindinho de que “não vamos abusar disso”
Onde há dados de localização precisa, é porque o usuário concedeu a permissão
Não sei por que Candy Crush precisaria de localização precisa, mas tenho bastante certeza de que o CC nem pede esse tipo de permissão
Pessoalmente, estou esperando a hora de o Tinder apanhar do governo
O poder de monopólio que passou a ter depois de juntar vários apps de namoro é realmente absurdo
Todo mundo reclama das externalidades sociais geradas pela ascensão da internet, mas no longo prazo é difícil pensar em muitas variáveis mais importantes do que essa para o sucesso de um país
Nunca usei, mas penso mais ou menos nele como um Facebook voltado para sexo
É pior do que os serviços da Meta?