Wired e 404 Media: entro il 2024 migliaia di app mobili raccoglieranno dati sulla posizione, influendo sulla privacy di decine di milioni di utenti

Migliaia di popolari app per dispositivi mobili Android e iOS sarebbero state sfruttate per raccogliere dati sensibili sulla posizione su una scala senza precedenti. Questa raccolta di dati attraverso l'ecosistema pubblicitario avviene probabilmente all'insaputa degli utenti o addirittura degli stessi sviluppatori dell'app.

Le informazioni provenivano da file hackerati di Gravy Analytics, una società di dati sulla posizione geografica la cui sussidiaria Venntel vendeva dati sulla posizione geografica globale alle forze dell'ordine statunitensi. Wired ha riportato la notizia e ha collaborato con 404 Media per produrre questo articolo.

La violazione dei dati ha esposto una vasta rete di app, che spazia dai giochi più popolari come Candy Crush alle app di incontri come Tinder e Grindr. Include anche categorie sensibili come le app per il monitoraggio della gravidanza e le app di preghiera religiosa.

"Abbiamo quella che sembra essere la prima dimostrazione pubblica che uno dei più grandi broker di dati che vende dati a clienti commerciali e governativi sembra raccogliere dati da 'flussi di offerte' pubblicitarie online piuttosto che incorporare codice nelle applicazioni stesse", ha detto a 404 Media Zach Edwards, analista senior delle minacce presso la società di sicurezza informatica Silent Push.

La notizia getta nuova luce sul mondo delle offerte in tempo reale (RTB), il processo tramite il quale le aziende fanno offerte per posizionare annunci pubblicitari nelle app. Questo sistema ha però un pericoloso effetto collaterale: i broker di dati possono intercettare il processo e ottenere i dati sulla posizione degli utenti di telefoni cellulari.

Edwards ha descritto questa situazione come un "incubo per la privacy", aggiungendo: "Ci sono aziende che sono come tassi del miele globali, che fanno quello che vogliono con ogni singolo dato".

La portata della raccolta dati è impressionante. I dati hackerati di Gravy includevano decine di milioni di coordinate di cellulari provenienti da dispositivi negli Stati Uniti, in Russia e in Europa. L'elenco delle app interessate è lungo e comprende categorie quali social network, fitness tracker, client di posta elettronica e persino app VPN che gli utenti scaricano per proteggere la propria privacy.

Sebbene la violazione dei dati sembri coinvolgere Gravy Analytics, non è chiaro se Gravy abbia raccolto personalmente i dati sulla posizione o li abbia ottenuti da un'altra fonte. Il set di dati, che risale al 2024, offre uno sguardo inedito sul mondo poco trasparente del settore dei dati sulla posizione.

Gravy Analytics svolge un ruolo fondamentale in questo ecosistema, aggregando dati sulla posizione dei telefoni cellulari provenienti da varie fonti e vendendoli a enti commerciali o agenzie governative tramite la sua controllata Venntel. Indagini precedenti hanno dimostrato che tra i clienti di Venntel figurano numerose agenzie governative statunitensi, tra cui l'Immigration and Customs Enforcement (ICE), la Customs and Border Protection (CBP), l'Internal Revenue Service (IRS), il Federal Bureau of Investigation (FBI) e la Drug Enforcement Administration (DEA).

Le implicazioni di questa raccolta di dati sono di vasta portata, sollevano gravi preoccupazioni sulla privacy e mettono in luce la possibilità che questi dati possano essere utilizzati per scopi che gli utenti non hanno mai voluto o a cui non hanno mai acconsentito. Ad esempio, i media hanno mostrato come uno strumento chiamato "Locate X" utilizzasse i dati Venntel per monitorare i visitatori delle cliniche per l'aborto fuori dallo Stato.

La maggior parte degli sviluppatori di app e delle aziende presenti nell'elenco non ha risposto alle richieste di commento. Tuttavia, Flightradar24 ha affermato in una e-mail di non aver mai sentito parlare di Gravy, ma ha riconosciuto che gli annunci pubblicitari venivano visualizzati per "aiutare a mantenere Flightradar24 gratuito".

Tinder ha negato qualsiasi relazione con Gravy Analytics, mentre Muslim Pro (una delle app di preghiera interessate) ha affermato di non aver autorizzato la rete pubblicitaria a raccogliere i dati sulla posizione dei suoi utenti.

È particolarmente significativo scoprire che questi dati sembrano provenire da offerte in tempo reale. Sposta la colpa sui malintenzionati del settore pubblicitario e sui giganti della tecnologia che lo favoriscono. Ciò suggerisce anche che molti grandi editori di app potrebbero non essere a conoscenza del furto dei dati dei loro utenti, rendendo difficile l'adozione di misure preventive.

Krzysztof Franaszek, fondatore della società di analisi forense digitale Adalytics, ha esaminato i dati trapelati e ha osservato che "almeno alcuni di questi dati derivano probabilmente da offerte in tempo reale correlate alla pubblicità". Ha indicato prove che la piattaforma pubblicitaria di Google sta mostrando alcuni annunci che consentono questo tipo di tracciamento da parte di aziende esterne, tra cui potenziali appaltatori governativi.

La Federal Trade Commission degli Stati Uniti ha recentemente preso provvedimenti contro pratiche simili. A dicembre, l’agenzia ha vietato alla società di dati sulla posizione geografica Mobilewalla di raccogliere dati sui consumatori “per scopi diversi dalla partecipazione ad aste pubblicitarie online”. La FTC ha inoltre ordinato a Venntel e Gravy Analytics di cancellare i dati storici sulla posizione e ha proibito loro di vendere dati relativi ad aree sensibili, come cliniche mediche e luoghi di culto, se non in circostanze limitate.

Dalla stazione di informazione industriale cinese