Rastreamento de localização por anúncios em apps: todo mundo sabe onde estou

 (timsh.org)
5 pontos por GN⁺ 2025-02-03 | 1 comentários | Compartilhar no WhatsApp
  • Mais de 2.000 apps encontrados na App Store e no Google Play apresentaram indícios de coleta de dados de localização sem o consentimento do usuário
  • O autor deste texto comprou esses dados de localização diretamente para testar se conseguiria rastrear a si mesmo
  • Em resumo, ele confirmou que endereços IP e dados de localização vazam por toda parte, e que uma enorme quantidade de informações de usuários circula por protocolos de publicidade como o OpenRTB
  • Porém, para comprar os dados de fato, é preciso gastar de dezenas a centenas de milhares de dólares, sendo que os dados de usuários europeus são particularmente mais caros
  • Ainda assim, ficou novamente comprovado que é possível comprá-los em qualquer lugar

Ponto de partida

  • Um iPhone 11 de teste foi restaurado para as configurações de fábrica e configurado com um novo Apple ID
  • Para analisar o tráfego de rede, foram instalados o Charles Proxy e um certificado SSL para descriptografar requisições HTTPS
  • Como app de exemplo, foi escolhido um jogo simples chamado “Stack”; ao executá-lo, surgiram várias requisições de publicidade e análise em intervalos muito curtos

Uma enxurrada de requisições

  • Apenas um minuto após abrir o app, foi possível ver uma quantidade enorme de requisições de rede
  • Cada requisição continha diversos dados, como localização, endereço IP, identificador de publicidade e detalhes do dispositivo
  • Ao examinar uma a uma, ficou evidente que informações sensíveis eram enviadas para vários destinos mesmo sem consentimento do usuário

Unity [ads]

  • Quando o SDK do Unity Ads está embutido no app, ele envia várias informações, incluindo localização e endereço IP, para os servidores da Unity
  • São coletados dados como o identificador “ifv” (ID For Vendor), localização ao usar Wi‑Fi (latitude e longitude) e timestamps
  • Como a Unity se integra a empresas de DSP como a Moloco Ads, essas informações acabam chegando a terceiros durante o processo de leilão de anúncios

Por que o Facebook aparece?

  • Mesmo sem nenhum app relacionado à Meta ou ao Facebook instalado, o endereço IP e timestamps são enviados ao Facebook durante a comunicação de anúncios dentro do app
  • Se o Facebook conseguir identificar contas usando o mesmo IP por outros caminhos, há grande chance de combinar isso com o histórico de uso dos serviços da Meta pelo usuário
  • Isso não é devidamente informado com antecedência ao usuário e, na prática, também não há um processo real de consentimento

Por que o brilho da tela seria necessário?

  • O Unity Ads solicita informações sobre o estado do dispositivo, como brilho da tela, nível da bateria, capacidade de memória e se há headset conectado
  • Há preocupação de que essas informações possam ser exploradas para anúncios personalizados e propostas de preço dinâmicas
  • Assim como o rumor de que a Uber ajustaria tarifas com base no nível da bateria, isso é tecnicamente possível

Entendendo os IDs

  • ifv (ID for Vendor) é um identificador atribuído por desenvolvedor de app
  • advertisingTrackingId (IDFA) é um identificador que permite rastrear o mesmo usuário em vários apps
  • Ao configurar a recusa de rastreamento, o IDFA passa a ser emitido no formato “0000...”, mas o IP e vários outros IDs continuam sendo enviados, permitindo na prática um rastreamento por vias indiretas

Diferença entre permitir ou não o rastreamento

  • Independentemente de o rastreamento de anúncios estar como “permitido” ou “negado”, localização, IP e informações do navegador continuam sendo enviados
  • A única diferença é que o IDFA não fica exposto; ainda assim, há outros elementos de identificação mais do que suficientes para distinguir o mesmo usuário
  • Plataformas como o Facebook têm capacidade de identificar usuários indiretamente por meio do IP

Como os dados circulam?

  • Os dados seguem o fluxo app → Unity [ads] → Molocoads → anunciante (como a Bwin)
  • Uma SSP (Supply-Side Platform) como a Unity coleta dados pelo SDK dentro do app, e a Molocoads, que atua como DSP (Demand-Side Platform), usa isso para fazer lances em leilões de anúncios
  • Nesse processo de intermediação, além dos anunciantes, inúmeros brokers também podem obter dados de localização e informações do dispositivo

Brokers de dados

  • No mercado, empresas como Datarade e Databricks comercializam dados de localização de usuários com base em MAID (advertising ID)
  • Empresas como a Redmob chegam a vender dados de localização em tempo real, com atualizações em menos de 5 segundos
  • A AGR Marketing Solutions e outras também vendem dados que cruzam MAID com PII real (informações de identificação pessoal), entregando nome, endereço, telefone e outros dados

Rastreando a si mesmo diretamente

  • Instala-se um app para que dados de localização sejam coletados no uso cotidiano
  • Empresas de publicidade ou brokers passam a obter dados de IP + localização + advertising ID
  • Depois, compra-se um dataset MAID <> PII e cruza-se com o próprio IDFA ou IP para vincular essas informações à identidade real
  • No fim, o próprio usuário consegue comprar, combinar e usar seus dados de localização para rastrear a si mesmo

Encerrando

  • O comércio de dados no ecossistema global de publicidade pode parecer legal em cada etapa isoladamente, mas, visto como um todo, representa uma séria invasão de privacidade
  • O tema voltou aos holofotes recentemente com grandes incidentes de vazamento, como o caso da Gravy Analytics
  • Mesmo ao negar o rastreamento de anúncios, não há garantia de proteção completa
  • Fica claro que os usuários têm dificuldade para saber para onde suas informações vão e como elas circulam ao usar apps

Leituras relacionadas

1 comentários

 
GN⁺ 2025-02-03
Comentários do Hacker News

  • Há um problema de privacidade em que informações de contato podem ser vendidas com facilidade. Se você compartilha seus contatos com apps como o TikTok, nome, telefone e e-mail podem vazar. Quando havia problemas com atendimento ao cliente, já usei o método de comprar o contato de executivos para falar diretamente com eles. Porém, isso pode ter efeitos colaterais, como a conta do CashApp ser encerrada

  • Muitas matérias sobre privacidade carecem de detalhes técnicos ou exageram. Há o estudo da Mozilla sobre políticas de privacidade em carros, mas faltam detalhes técnicos reais. Por exemplo, surgem perguntas como: o carro grava conversas, onde os dados são armazenados e se são enviados a terceiros. Sem esses detalhes, as matérias podem apenas alimentar a desconfiança

  • Pago aluguel por uma empresa chamada Bilt e, sempre que compro na Walgreens, recebo por e-mail o recibo da compra. Espero que itens sensíveis fiquem de fora. Fico curioso sobre como esses dados vão da Walgreens para a empresa de aluguel, mas talvez seja melhor usar dinheiro vivo ou cheque administrativo

  • É interessante que pessoas da área de TI construam ao mesmo tempo a indústria de anúncios, venda de dados pessoais e rastreamento, e também sejam as que mais reclamam disso

  • Informações como brilho da tela, quantidade de memória, volume atual e se a pessoa está usando fones de ouvido podem ser usadas para desanonimizar usuários

  • A alegação de que LTE forneceria informações de localização mais precisas está errada. Se o app não tem permissão de localização, ele não consegue obter informações de cellid. Apps gratuitos alegam coletar localização precisa, mas, na prática, isso não é preciso

  • Há preocupação de que ad exchanges consigam encontrar maneiras de fazer rastreamento entre apps mesmo sem IDFA. Em teoria isso é proibido, mas é difícil impor essa regra

  • O app do Reddit, no meu celular, não tem essa permissão, mas recomenda comunidades com base em localização. Durante viagens, ele recomendava em cada cidade que eu visitava

  • Recomenda-se evitar usar apps móveis quando um site pode servir como substituto