- File hasil peretasan Gravy Analytics mengungkap ribuan nama aplikasi dan data lokasi, sehingga makin besar kemungkinan bahwa aplikasi populer dimanfaatkan untuk pengumpulan lokasi sensitif melalui ekosistem iklan, bukan lewat SDK pengembang
- Jalur utama yang ditunjuk adalah RTB bid stream, yaitu lelang iklan real-time; perusahaan yang terhubung dapat mengumpulkan lokasi perangkat dan lokasi berbasis IP meski tidak benar-benar menayangkan iklan
- Daftar tersebut mencakup Candy Crush, Tinder, Grindr, MyFitnessPal, Flightradar24, Tumblr, Microsoft 365, Yahoo Mail, serta aplikasi pelacak kehamilan dan menstruasi, aplikasi keagamaan, dan aplikasi VPN
- Gravy menjual data lokasi kepada pelanggan komersial dan, melalui anak perusahaannya Venntel, juga menyediakannya kepada lembaga pemerintah AS; data Venntel pernah digunakan dalam alat pengawasan yang dibeli pemerintah seperti Locate X
- Karena data dapat keluar lewat proses lelang iklan meski pengembang aplikasi tidak memasukkan kode pengumpul lokasi secara langsung, fokus perlindungan pengguna meluas dari aplikasi itu sendiri ke rantai pasok teknologi iklan
Rantai pasok data lokasi yang diungkap file peretasan Gravy
- File hasil peretasan mencakup ribuan aplikasi Android dan iOS, dan sebagian file mencatat nama aplikasi bersama setiap data lokasi
- Data tersebut berisi puluhan juta koordinat perangkat mobile di Amerika Serikat, Rusia, dan Eropa
- Karena jalur pengumpulan tampaknya berasal dari ekosistem iklan, bukan kode yang dimasukkan pembuat aplikasi, baik pengguna maupun pengembang aplikasi mungkin tidak mengetahui pengumpulan tersebut
- Sebagian data lokasi tidak memiliki timestamp, tetapi adanya Call of Duty: Mobile Season 5 yang dirilis pada Mei 2024 dalam daftar memberi petunjuk bahwa itu adalah data tahun 2024
- Tidak jelas apakah Gravy mengumpulkan data secara langsung, mendapatkannya dari perusahaan lain, atau perusahaan data lokasi mana yang pada akhirnya memiliki atau melisensikannya
Aplikasi yang tercakup dan daftar publik
- 404 Media mengekstrak nama aplikasi dari file hasil peretasan dan membuat daftar, lalu memublikasikan daftar lengkapnya di Google Sheets
- Daftar aplikasi mencakup berbagai kategori seperti game, kencan, kesehatan, transportasi, produktivitas, agama, dan VPN
- Game: Candy Crush, Temple Run, Subway Surfers, Harry Potter: Puzzles & Spells
- Aplikasi kencan: Tinder, Grindr
- Aplikasi kesehatan dan gaya hidup: MyFitnessPal, My Period Calendar & Tracker
- Aplikasi transportasi dan penerbangan: Moovit, Flightradar24
- Aplikasi sosial dan produktivitas: Tumblr, Yahoo Mail, Microsoft 365
- Aplikasi kategori sensitif: aplikasi pelacak kehamilan, aplikasi salat Muslim, aplikasi Alkitab Kristen, berbagai aplikasi VPN
- Aplikasi Android dan iOS sama-sama tercakup, dan duplikasi aplikasi dengan nama yang sedikit berbeda tetap dipertahankan agar pengguna lebih mudah mencari aplikasi yang mereka pasang
- Beberapa peneliti keamanan juga memublikasikan daftar aplikasi terpisah dengan ukuran yang berbeda-beda
Mengapa RTB ditunjuk sebagai jalur utama
- Zach Edwards dari Silent Push menilai data Gravy tampak sebagai bukti publik bahwa data tersebut diperoleh dari bid stream iklan online, bukan dari kode yang tertanam di aplikasi
- Dulu, perusahaan data lokasi membayar pengembang aplikasi agar memasukkan paket kode pengumpul lokasi ke dalam aplikasi, tetapi kini juga digunakan cara mengambil informasi lokasi dari proses lelang iklan di dalam aplikasi
- Dalam lelang real-time, perusahaan mengajukan bid untuk membeli inventaris iklan di aplikasi, dan broker data dapat mengintip proses itu untuk mengumpulkan lokasi perangkat mobile
- Perusahaan pengawasan dapat mengakses data RTB dengan mengakuisisi perusahaan teknologi iklan atau bertindak seperti calon pengiklan
- Mereka tidak perlu benar-benar memenangkan lelang atau menampilkan iklan
- Cukup terhubung ke industri iklan saja sudah dapat memungkinkan pengumpulan data perangkat
- Dalam kasus ini, data lokasi dapat mencakup alamat IP pengguna, dan lokasi perkiraan bisa diperoleh dengan mengubah IP menjadi geolokasi
Petunjuk teknis yang dilihat para peneliti
- Pendiri Adalytics, Krzysztof Franaszek, menilai sebagian data besar kemungkinan diperoleh dari RTB terkait iklan
- User-agent di sebagian file berisi string
afma-sdk, yaitu string yang digunakan dalam Google Mobile Ads SDK - Petunjuk ini menunjukkan bahwa dalam beberapa kasus, platform iklan Google mengirimkan iklan, dan alur iklan tersebut mungkin berujung pada pelacakan oleh perusahaan eksternal atau calon kontraktor pemerintah
- Franaszek menilai sebagian besar data disimpulkan bukan dari GNSS/GPS, melainkan dari pencarian geolokasi berbasis alamat IP
- Edwards menilai keragaman jenis aplikasi yang sangat luas lebih mirip pola pengumpulan RTB skala besar daripada pengumpulan berbasis SDK
- Google dan Apple tidak menanggapi beberapa permintaan komentar
Keterkaitan Gravy, Venntel, dan alat pengawasan pemerintah
- Gravy adalah perusahaan yang mengumpulkan data lokasi mobile dari berbagai sumber dan menjualnya kepada perusahaan komersial
- Melalui anak perusahaannya Venntel, perusahaan ini juga menjual data lokasi kepada lembaga pemerintah AS
- Pelanggan Venntel pernah mencakup Immigration and Customs Enforcement, Customs and Border Protection, IRS, FBI, dan Drug Enforcement Administration
- Venntel menyediakan data dasar untuk alat pengawasan yang dibeli pemerintah milik Babel Street, Locate X
- 404 Media dan media lain menunjukkan pada tahun sebelumnya bahwa Locate X dapat digunakan untuk memantau pengunjung klinik aborsi di luar negara bagian
Respons perusahaan aplikasi
- Flightradar24 mengatakan belum pernah mendengar tentang Gravy, tetapi menampilkan iklan, dan iklan membantu menjaga Flightradar24 tetap gratis
- Tinder mengatakan tidak memiliki hubungan dengan Gravy Analytics dan tidak ada bukti bahwa data tersebut diperoleh dari aplikasi Tinder, tetapi tidak menjawab pertanyaan tentang iklan di dalam aplikasi
- Muslim Pro mengatakan tidak mengetahui Gravy dan menampilkan iklan melalui beberapa jaringan iklan untuk mendukung versi gratisnya, tetapi tidak mengizinkan jaringan tersebut mengumpulkan data lokasi pengguna
- Grindr mengatakan tidak pernah bekerja dengan Gravy Analytics maupun memberikan data kepadanya, tidak membagikan data dengan agregator atau broker data, dan selama bertahun-tahun tidak membagikan informasi lokasi dengan mitra iklan
- Sebagian besar pengembang aplikasi dan perusahaan tidak menanggapi permintaan komentar
Regulasi dan verifikasi data
- Pada Desember 2024, FTC melarang Mobilewalla mengumpulkan data konsumen dari lelang iklan online dan menggunakannya untuk tujuan selain berpartisipasi dalam lelang
- FTC menyatakan Venntel dan Gravy mengumpulkan data tanpa persetujuan pengguna, dan memerintahkan penghapusan data lokasi lama
- Penjualan data terkait area sensitif seperti klinik kesehatan dan tempat ibadah juga dilarang, meski pengecualian terbatas terkait keamanan nasional atau penegakan hukum tetap ada
- 404 Media memverifikasi data Gravy yang diretas dengan beberapa cara
- Sebagian file berisi kredensial instans Gravy di Snowflake, alat data warehousing
- Mereka memastikan URL dalam file hasil peretasan sesuai dengan instans Snowflake yang nyata
- File
usersberisi daftar perusahaan, dan sebagian perusahaan membantah memiliki hubungan dengan Gravy
- Cuebiq mengatakan pihaknya secara rutin mengevaluasi data pasar, tetapi kasus tersebut adalah pengujian sampel data terbatas, tidak diberikan kepada pelanggan, dan dihapus setelah pengujian selesai
- Datonics mengatakan segment ID dalam file tersebut bukan milik Datonics, melainkan milik Gravy
- Unacast, yang merger dengan Gravy pada 2023, tidak menanggapi beberapa permintaan komentar tentang peretasan dan apakah data lokasi diturunkan dari RTB
1 komentar
Pendapat di Hacker News
Setiap kali terlihat iklan banner kecil di bagian bawah aplikasi, terjadi lelang instan untuk slot iklan itu
Ketika Google meneruskan informasi kepada para penawar, mereka menghitung berapa yang bersedia dibayar untuk menampilkan iklan tersebut
Dengan kata lain, pihak yang kalah lelang pun menerima air terjun data, dan memang ada perusahaan yang sejak awal ikut lelang dengan tujuan kalah sambil mengumpulkan data
Jadi tidak mengherankan jika In-Q-Tel, divisi investasi CIA yang tidak bersifat rahasia, berinvestasi di analitik semacam ini, yaitu perusahaan-perusahaan pengawasan digital
https://www.ftc.gov/news-events/news/press-releases/2024/12/...
Ini adalah isi gugatan FTC bahwa ketika Mobilewalla menawar slot iklan pelanggan di bursa bidding iklan real-time, mereka secara tidak semestinya mengumpulkan dan menyimpan informasi dari permintaan bid meskipun tidak memenangkan lelang
Dari Januari 2018 hingga Juni 2020, mereka mengumpulkan lebih dari 500 juta pengenal iklan konsumen unik beserta data lokasi presisi; data lokasi mentah itu tidak dianonimkan dan tidak ada kebijakan untuk menghapus lokasi sensitif, sehingga perangkat pribadi dan tempat yang dikunjungi dapat diidentifikasi
Disebutkan bahwa akses ke data mentah ini dijual kepada pihak ketiga seperti pengiklan, broker data, dan perusahaan analitik
Jika ikut header bidding, Anda akan mendapatkan data yang mirip dengan yang bisa dilihat saat mengoperasikan situs web mobile populer
Tidak mengherankan jika In-Q-Tel berinvestasi pada bisnis arbitrase bagus seperti bursa; itu hanya investor yang baik melakukan investasi yang baik, dan tidak tampak seperti strategi pengawasan yang sinis
Namun Google tidak menegakkannya, karena ini adalah cara menjual data pengguna tanpa secara eksplisit menjual data pengguna
Secara naif, saya mengira Google menangani bidding semacam ini secara internal
Bagian yang tidak dibahas artikel adalah bagaimana lokasi dikumpulkan
Menyebut geolokasi IP sebagai pengumpulan data lokasi agak berlebihan, karena biasanya tidak seakurat memperoleh geolokasi secara langsung sehingga tidak perlu mendapatkannya dari broker
Namun di Android, baik ACCESS_COARSE_LOCATION maupun ACCESS_FINE_LOCATION memerlukan dialog izin, jadi saya penasaran bagaimana tepatnya ini bekerja
Ada bagian yang menyatakan, “Sebagian besar dataset geolokasi ini tampaknya disimpulkan dengan melakukan pencarian geolokasi atas alamat IP. Artinya, vendor atau sumbernya memperoleh geolokasi dengan memeriksa alamat IP pengguna, bukan dari data GNSS/GPS. Ini menunjukkan bahwa data tersebut tidak sepenuhnya berasal dari SDK data lokasi”
Game sama sekali tidak seharusnya mencoba melacak lokasi saya, dan tidak boleh mendapat pengecualian hanya karena secara teknis akurasinya rendah
https://developers.google.com/android/reference/com/google/a...
Untuk aplikasi lain, saya kurang tahu
comm -12 <(cat gravy_app_list\ -\ count.csv| uvx --from csvkit csvcut -c 2 | rg '\.' | sort) <(adb shell pm list packages -3 | cut -f 2 -d ":" | sort)CSV bisa diunduh dari https://docs.google.com/spreadsheets/d/1Ukgd0gIWd9gpV6bOx2pc... untuk mengecek apakah ada kecocokan dengan aplikasi di ponsel
Melihat daftar saya, ada dua hal yang membuat saya penasaran: aplikasi pengganti PodcastAddict apa yang bagus, apakah di versi berbayar bukan hanya iklan di layar yang hilang tetapi semua traffic iklan juga berhenti, dan bagaimana MS Outlook bisa masuk ke daftar ini sejak awal
PodcastAddict bahkan tidak meminta izin lokasi[1]
Jadi bagaimana mungkin bisa mengakses lokasi? Kalau membaca artikelnya dengan saksama, ada catatan bahwa lokasi itu mungkin bukan berasal dari aplikasi Gravy
Paling banter mereka hanya mendapatkan lokasi IP, dan itu memang informasi yang dikirimkan ke semua situs web yang Anda kunjungi
Ada bagian yang berbunyi, “Dataset ini tampaknya berasal dari peretasan Gravy, tetapi tidak jelas apakah Gravy mengumpulkan data lokasi ini secara langsung, mendapatkannya dari perusahaan lain, atau perusahaan data lokasi mana yang pada akhirnya memiliki atau mendapat lisensi untuk menggunakannya”
[1] https://play.google.com/store/apps/details?id=com.bambuna.po...
“Halo, saya tidak mengerti maksud email ini. Tentu saja semua aplikasi podcast terhubung ke konten pihak ketiga untuk streaming, jadi platform hosting, layanan pelacakan, dan layanan iklan yang digunakan para podcaster dapat mengakses alamat IP pengguna.
Mengatakan aplikasi podcast membocorkan alamat IP sama konyolnya dengan mengatakan browser web melakukan hal itu. Aplikasi hanyalah alat untuk terhubung ke konten pihak ketiga, dan kecuali Anda memakai VPN, server yang Anda hubungi akan selalu bisa mengakses alamat IP Anda.
Aplikasi ini tidak memiliki lokasi pengguna. Seperti yang Anda lihat, aplikasi tidak meminta izin lokasi, jadi aplikasi tidak punya informasi lokasi untuk dibagikan. Namun IP tentu saja terlihat oleh server mana pun yang Anda hubungi.
Xavier”
Karena bisa dikonfigurasi, saya memakai NextDNS [1], dan DNS AdGuard [2] kemungkinan juga bekerja dengan baik
grep -f gravy_app_list\ -\ count.csv <(adb shell pm list packages -3 | cut -d":" -f2)Iklan adalah virus yang menginfeksi seluruh ekosistem
Ini justru lebih mirip keracunan timbal
Secara inheren tidak ada yang salah, tetapi orang-orang yang melakukan hal jahat sangat menyukainya
Tulisan terkait: FTC mengambil tindakan terhadap Gravy Analytics dan Venntel yang menjual data lokasi, 194 poin·158 komentar
https://news.ycombinator.com/item?id=42309429
https://web.archive.org/web/20250109211053/https://www.wired...
https://archive.ph/Danyk
https://docs.google.com/spreadsheets/d/1Ukgd0gIWd9gpV6bOx2pc...
https://gist.github.com/fs0c131y/f498b21cba9ee23956fc7d76292...
Saya ingin tahu apakah benar jika dipahami bahwa aplikasi-aplikasi ini bisa melewati izin sistem operasi terkait boleh tidaknya data lokasi digunakan
Sejauh yang saya pahami, tidak sulit membuat tugas latar belakang yang secara berkala mengirim permintaan jaringan
Tugas latar belakang itu tinggal mengirim permintaan HTTP ke server jaringan iklan dengan menyertakan suatu pengenal unik, lalu server memproses geolokasi IP-nya
Di banyak jaringan seluler akurasinya mungkin tidak tinggi, tetapi di beberapa ISP, IP dipilah hingga tingkat lingkungan, jadi lewat Wi-Fi bisa cukup terperinci
Karena menduga kemungkinan ini, saya mematikan Background App Refresh untuk hampir semua aplikasi, dan tidak ada penurunan pengalaman memakai aplikasi
Saat memakai 1Blocker, yang membuat VPN dummy di perangkat untuk memblokir permintaan IP pelacak di iOS, saya melihat jumlah permintaan yang diblokir turun drastis setelah Background App Refresh dimatikan
Sebagiannya diagnostik yang tidak berbahaya seperti Sentry, tetapi sebagian besar bukan begitu
Saya ingin ada orang yang paham pengembangan iOS menjelaskan apakah ini benar-benar mungkin, dengan mempertimbangkan batasan eksekusi tugas latar belakang
Mungkin besar kemungkinannya memakai lokasi jika izin diaktifkan, dan jika tidak, beralih ke geolokasi IP
Real-time bidding adalah mimpi buruk dari sisi privasi; strukturnya menyebarkan perilaku pengguna secara real time ke semua penyedia iklan, lalu bergantung pada janji kelingking bahwa mereka “tidak akan menyalahgunakannya”
Di tempat yang memiliki data lokasi presisi, berarti pengguna telah memberikan izin
Saya tidak tahu kenapa Candy Crush perlu meminta lokasi presisi, tetapi saya cukup yakin CC tidak meminta izin seperti itu
Secara pribadi, saya menunggu Tinder mendapat pukulan keras dari pemerintah
Kekuatan monopoli yang dimilikinya setelah menggabungkan beberapa aplikasi kencan benar-benar tidak masuk akal
Semua orang mengeluhkan eksternalitas sosial akibat bangkitnya internet, tetapi dalam jangka panjang sulit untuk mengatakan ada banyak variabel yang lebih penting daripada ini bagi keberhasilan sebuah negara
Saya belum pernah memakainya, tetapi kira-kira menganggapnya seperti Facebook untuk seks
Apakah lebih buruk daripada layanan-layanan Meta?