研究發現數千款流行移動應用程序被利用大規模獲取位置數據

據稱，Android 和 iOS 上的數千款流行移動應用程序被利用，以前所未有的規模收集敏感位置數據。 這種通過廣告生態系統進行的數據收集很可能是在用戶甚至應用程序開發人員本身都不知情的情況下進行的。

這些信息來自 Gravy Analytics 的黑客文件，這是一家位置數據公司，其子公司 Venntel 曾向美國執法機構出售全球位置數據。 Wired報道了這一信息，並與 404 Media 合作製作了這篇報道。

數據泄露事件暴露了一個龐大的應用程序網絡，從 Candy Crush 等流行遊戲到 Tinder 和 Grindr 等約會應用程序，不一而足。 其中還包括懷孕跟蹤和宗教祈禱應用程序等敏感類別。

網絡安全公司 Silent Push 的高級威脅分析師 Zach Edwards 告訴 404 Media："我們似乎首次公開證明，向商業和政府客戶銷售數據的最大數據經紀商之一似乎是從在線廣告'競價流'中獲取數據，而不是將代碼嵌入應用程序本身。"

這一消息揭示了實時競價（RTB）的世界，即公司通過競價在應用程序中投放廣告的過程。 然而，這一系統有一個危險的副作用：數據經紀人可以攔截這一過程，獲取手機用戶的位置數據。

愛德華茲將此描述爲"隱私保護的噩夢"，並補充說："有一些公司就像全球的蜜獾一樣，對每一條數據爲所欲爲"。

數據收集的規模令人震驚。 被黑客攻擊的 Gravy 數據包括來自美國、俄羅斯和歐洲設備的數千萬手機座標。 受影響應用程序的列表非常廣泛，涵蓋了社交網絡、健身追蹤器、電子郵件客戶端等多個類別，甚至包括用戶爲保護隱私而下載的 VPN 應用程序。

儘管數據泄露事件似乎涉及 Gravy Analytics，但目前仍不清楚 Gravy 是自己收集這些位置數據，還是從其他來源獲得這些數據。 該數據集的日期可追溯到 2024 年，是位置數據行業不透明世界中難得的一瞥。

Gravy Analytics 在這個生態系統中扮演着舉足輕重的角色，它彙總各種來源的手機定位數據，並通過其子公司 Venntel 出售給商業實體或政府機構。 此前的調查顯示，Venntel 的客戶包括多個美國政府機構，如移民與海關執法局 (ICE)、海關與邊境保護局 (CBP)、國稅局 (IRS)、聯邦調查局 (FBI) 和緝毒局 (DEA)。

這種數據收集影響深遠，引發了嚴重的隱私問題，並凸顯出這些數據可能會被用於用戶從未打算或同意的用途。 例如，媒體曾展示過一個名爲"Locate X"的工具如何利用 Venntel 的數據監控州外墮胎診所的訪客。

名單上的大多數應用程序開發商和公司都沒有迴應置評請求。 不過，Flightradar24 在一封電子郵件中表示，從未聽說過 Gravy，但承認顯示廣告是爲了"幫助 Flightradar24 保持免費"。

Tinder 否認與 Gravy Analytics 有任何關係，而 Muslim Pro（受影響的祈禱應用程序之一）則聲稱它沒有授權廣告網絡收集其用戶的位置數據。

發現這些數據似乎來源於實時競價，意義尤爲重大。 它將責任轉嫁給了廣告行業的不法行爲者和爲其提供便利的科技巨頭。 這也表明，許多大型應用程序發佈商可能並不知道他們的用戶數據被竊取，因此很難採取預防措施。

數字取證公司 Adalytics 的創始人 Krzysztof Franaszek 審查了泄露的數據，並指出"這些數據中至少有一部分可能來自與廣告相關的實時競價"。 他指出，有證據表明，Google的廣告平臺正在提供一些廣告，使外部公司（包括潛在的政府承包商）能夠進行這種跟蹤。

美國聯邦貿易委員會最近也對類似行爲採取了行動。 12 月，該機構禁止定位數據公司 Mobilewalla"出於參與在線廣告拍賣以外的目的"收集消費者數據。 聯邦貿易委員會還命令 Venntel 和 Gravy Analytics 刪除歷史位置數據，並禁止它們出售與敏感地區（如醫療診所和宗教場所）相關的數據，但在有限的情況下除外。