2 poin oleh GN⁺ 2025-01-11 | 1 komentar | Bagikan ke WhatsApp
  • File hasil peretasan Gravy Analytics mengungkap ribuan nama aplikasi dan data lokasi, sehingga makin besar kemungkinan bahwa aplikasi populer dimanfaatkan untuk pengumpulan lokasi sensitif melalui ekosistem iklan, bukan lewat SDK pengembang
  • Jalur utama yang ditunjuk adalah RTB bid stream, yaitu lelang iklan real-time; perusahaan yang terhubung dapat mengumpulkan lokasi perangkat dan lokasi berbasis IP meski tidak benar-benar menayangkan iklan
  • Daftar tersebut mencakup Candy Crush, Tinder, Grindr, MyFitnessPal, Flightradar24, Tumblr, Microsoft 365, Yahoo Mail, serta aplikasi pelacak kehamilan dan menstruasi, aplikasi keagamaan, dan aplikasi VPN
  • Gravy menjual data lokasi kepada pelanggan komersial dan, melalui anak perusahaannya Venntel, juga menyediakannya kepada lembaga pemerintah AS; data Venntel pernah digunakan dalam alat pengawasan yang dibeli pemerintah seperti Locate X
  • Karena data dapat keluar lewat proses lelang iklan meski pengembang aplikasi tidak memasukkan kode pengumpul lokasi secara langsung, fokus perlindungan pengguna meluas dari aplikasi itu sendiri ke rantai pasok teknologi iklan

Rantai pasok data lokasi yang diungkap file peretasan Gravy

  • File hasil peretasan mencakup ribuan aplikasi Android dan iOS, dan sebagian file mencatat nama aplikasi bersama setiap data lokasi
  • Data tersebut berisi puluhan juta koordinat perangkat mobile di Amerika Serikat, Rusia, dan Eropa
  • Karena jalur pengumpulan tampaknya berasal dari ekosistem iklan, bukan kode yang dimasukkan pembuat aplikasi, baik pengguna maupun pengembang aplikasi mungkin tidak mengetahui pengumpulan tersebut
  • Sebagian data lokasi tidak memiliki timestamp, tetapi adanya Call of Duty: Mobile Season 5 yang dirilis pada Mei 2024 dalam daftar memberi petunjuk bahwa itu adalah data tahun 2024
  • Tidak jelas apakah Gravy mengumpulkan data secara langsung, mendapatkannya dari perusahaan lain, atau perusahaan data lokasi mana yang pada akhirnya memiliki atau melisensikannya

Aplikasi yang tercakup dan daftar publik

  • 404 Media mengekstrak nama aplikasi dari file hasil peretasan dan membuat daftar, lalu memublikasikan daftar lengkapnya di Google Sheets
  • Daftar aplikasi mencakup berbagai kategori seperti game, kencan, kesehatan, transportasi, produktivitas, agama, dan VPN
    • Game: Candy Crush, Temple Run, Subway Surfers, Harry Potter: Puzzles & Spells
    • Aplikasi kencan: Tinder, Grindr
    • Aplikasi kesehatan dan gaya hidup: MyFitnessPal, My Period Calendar & Tracker
    • Aplikasi transportasi dan penerbangan: Moovit, Flightradar24
    • Aplikasi sosial dan produktivitas: Tumblr, Yahoo Mail, Microsoft 365
    • Aplikasi kategori sensitif: aplikasi pelacak kehamilan, aplikasi salat Muslim, aplikasi Alkitab Kristen, berbagai aplikasi VPN
  • Aplikasi Android dan iOS sama-sama tercakup, dan duplikasi aplikasi dengan nama yang sedikit berbeda tetap dipertahankan agar pengguna lebih mudah mencari aplikasi yang mereka pasang
  • Beberapa peneliti keamanan juga memublikasikan daftar aplikasi terpisah dengan ukuran yang berbeda-beda

Mengapa RTB ditunjuk sebagai jalur utama

  • Zach Edwards dari Silent Push menilai data Gravy tampak sebagai bukti publik bahwa data tersebut diperoleh dari bid stream iklan online, bukan dari kode yang tertanam di aplikasi
  • Dulu, perusahaan data lokasi membayar pengembang aplikasi agar memasukkan paket kode pengumpul lokasi ke dalam aplikasi, tetapi kini juga digunakan cara mengambil informasi lokasi dari proses lelang iklan di dalam aplikasi
  • Dalam lelang real-time, perusahaan mengajukan bid untuk membeli inventaris iklan di aplikasi, dan broker data dapat mengintip proses itu untuk mengumpulkan lokasi perangkat mobile
  • Perusahaan pengawasan dapat mengakses data RTB dengan mengakuisisi perusahaan teknologi iklan atau bertindak seperti calon pengiklan
    • Mereka tidak perlu benar-benar memenangkan lelang atau menampilkan iklan
    • Cukup terhubung ke industri iklan saja sudah dapat memungkinkan pengumpulan data perangkat
  • Dalam kasus ini, data lokasi dapat mencakup alamat IP pengguna, dan lokasi perkiraan bisa diperoleh dengan mengubah IP menjadi geolokasi

Petunjuk teknis yang dilihat para peneliti

  • Pendiri Adalytics, Krzysztof Franaszek, menilai sebagian data besar kemungkinan diperoleh dari RTB terkait iklan
  • User-agent di sebagian file berisi string afma-sdk, yaitu string yang digunakan dalam Google Mobile Ads SDK
  • Petunjuk ini menunjukkan bahwa dalam beberapa kasus, platform iklan Google mengirimkan iklan, dan alur iklan tersebut mungkin berujung pada pelacakan oleh perusahaan eksternal atau calon kontraktor pemerintah
  • Franaszek menilai sebagian besar data disimpulkan bukan dari GNSS/GPS, melainkan dari pencarian geolokasi berbasis alamat IP
  • Edwards menilai keragaman jenis aplikasi yang sangat luas lebih mirip pola pengumpulan RTB skala besar daripada pengumpulan berbasis SDK
  • Google dan Apple tidak menanggapi beberapa permintaan komentar

Keterkaitan Gravy, Venntel, dan alat pengawasan pemerintah

  • Gravy adalah perusahaan yang mengumpulkan data lokasi mobile dari berbagai sumber dan menjualnya kepada perusahaan komersial
  • Melalui anak perusahaannya Venntel, perusahaan ini juga menjual data lokasi kepada lembaga pemerintah AS
  • Pelanggan Venntel pernah mencakup Immigration and Customs Enforcement, Customs and Border Protection, IRS, FBI, dan Drug Enforcement Administration
  • Venntel menyediakan data dasar untuk alat pengawasan yang dibeli pemerintah milik Babel Street, Locate X
  • 404 Media dan media lain menunjukkan pada tahun sebelumnya bahwa Locate X dapat digunakan untuk memantau pengunjung klinik aborsi di luar negara bagian

Respons perusahaan aplikasi

  • Flightradar24 mengatakan belum pernah mendengar tentang Gravy, tetapi menampilkan iklan, dan iklan membantu menjaga Flightradar24 tetap gratis
  • Tinder mengatakan tidak memiliki hubungan dengan Gravy Analytics dan tidak ada bukti bahwa data tersebut diperoleh dari aplikasi Tinder, tetapi tidak menjawab pertanyaan tentang iklan di dalam aplikasi
  • Muslim Pro mengatakan tidak mengetahui Gravy dan menampilkan iklan melalui beberapa jaringan iklan untuk mendukung versi gratisnya, tetapi tidak mengizinkan jaringan tersebut mengumpulkan data lokasi pengguna
  • Grindr mengatakan tidak pernah bekerja dengan Gravy Analytics maupun memberikan data kepadanya, tidak membagikan data dengan agregator atau broker data, dan selama bertahun-tahun tidak membagikan informasi lokasi dengan mitra iklan
  • Sebagian besar pengembang aplikasi dan perusahaan tidak menanggapi permintaan komentar

Regulasi dan verifikasi data

  • Pada Desember 2024, FTC melarang Mobilewalla mengumpulkan data konsumen dari lelang iklan online dan menggunakannya untuk tujuan selain berpartisipasi dalam lelang
  • FTC menyatakan Venntel dan Gravy mengumpulkan data tanpa persetujuan pengguna, dan memerintahkan penghapusan data lokasi lama
  • Penjualan data terkait area sensitif seperti klinik kesehatan dan tempat ibadah juga dilarang, meski pengecualian terbatas terkait keamanan nasional atau penegakan hukum tetap ada
  • 404 Media memverifikasi data Gravy yang diretas dengan beberapa cara
    • Sebagian file berisi kredensial instans Gravy di Snowflake, alat data warehousing
    • Mereka memastikan URL dalam file hasil peretasan sesuai dengan instans Snowflake yang nyata
    • File users berisi daftar perusahaan, dan sebagian perusahaan membantah memiliki hubungan dengan Gravy
  • Cuebiq mengatakan pihaknya secara rutin mengevaluasi data pasar, tetapi kasus tersebut adalah pengujian sampel data terbatas, tidak diberikan kepada pelanggan, dan dihapus setelah pengujian selesai
  • Datonics mengatakan segment ID dalam file tersebut bukan milik Datonics, melainkan milik Gravy
  • Unacast, yang merger dengan Gravy pada 2023, tidak menanggapi beberapa permintaan komentar tentang peretasan dan apakah data lokasi diturunkan dari RTB

1 komentar

 
GN⁺ 2025-01-11
Pendapat di Hacker News
  • Setiap kali terlihat iklan banner kecil di bagian bawah aplikasi, terjadi lelang instan untuk slot iklan itu
    Ketika Google meneruskan informasi kepada para penawar, mereka menghitung berapa yang bersedia dibayar untuk menampilkan iklan tersebut
    Dengan kata lain, pihak yang kalah lelang pun menerima air terjun data, dan memang ada perusahaan yang sejak awal ikut lelang dengan tujuan kalah sambil mengumpulkan data
    Jadi tidak mengherankan jika In-Q-Tel, divisi investasi CIA yang tidak bersifat rahasia, berinvestasi di analitik semacam ini, yaitu perusahaan-perusahaan pengawasan digital

    • Tautan ini secara jelas mengatakan bahwa data diterima meski tidak memenangkan lelang
      https://www.ftc.gov/news-events/news/press-releases/2024/12/...
      Ini adalah isi gugatan FTC bahwa ketika Mobilewalla menawar slot iklan pelanggan di bursa bidding iklan real-time, mereka secara tidak semestinya mengumpulkan dan menyimpan informasi dari permintaan bid meskipun tidak memenangkan lelang
      Dari Januari 2018 hingga Juni 2020, mereka mengumpulkan lebih dari 500 juta pengenal iklan konsumen unik beserta data lokasi presisi; data lokasi mentah itu tidak dianonimkan dan tidak ada kebijakan untuk menghapus lokasi sensitif, sehingga perangkat pribadi dan tempat yang dikunjungi dapat diidentifikasi
      Disebutkan bahwa akses ke data mentah ini dijual kepada pihak ketiga seperti pengiklan, broker data, dan perusahaan analitik
    • Bukan pelanggan iklan yang melihat datanya, melainkan segelintir bursa
      Jika ikut header bidding, Anda akan mendapatkan data yang mirip dengan yang bisa dilihat saat mengoperasikan situs web mobile populer
      Tidak mengherankan jika In-Q-Tel berinvestasi pada bisnis arbitrase bagus seperti bursa; itu hanya investor yang baik melakukan investasi yang baik, dan tidak tampak seperti strategi pengawasan yang sinis
    • “Perusahaan yang tujuannya kalah lelang tetapi mengumpulkan data” melanggar ketentuan Google
      Namun Google tidak menegakkannya, karena ini adalah cara menjual data pengguna tanpa secara eksplisit menjual data pengguna
    • Saya penasaran di mana bisa mendaftar untuk air terjun data seperti itu
      Secara naif, saya mengira Google menangani bidding semacam ini secara internal
    • Saya penasaran apakah ini legal di Eropa, dan apakah ini praktik umum
  • Bagian yang tidak dibahas artikel adalah bagaimana lokasi dikumpulkan
    Menyebut geolokasi IP sebagai pengumpulan data lokasi agak berlebihan, karena biasanya tidak seakurat memperoleh geolokasi secara langsung sehingga tidak perlu mendapatkannya dari broker
    Namun di Android, baik ACCESS_COARSE_LOCATION maupun ACCESS_FINE_LOCATION memerlukan dialog izin, jadi saya penasaran bagaimana tepatnya ini bekerja

    • Setidaknya sebagian, mungkin mayoritasnya, tampaknya diturunkan dari alamat IP yang digunakan dalam proses bidding iklan
      Ada bagian yang menyatakan, “Sebagian besar dataset geolokasi ini tampaknya disimpulkan dengan melakukan pencarian geolokasi atas alamat IP. Artinya, vendor atau sumbernya memperoleh geolokasi dengan memeriksa alamat IP pengguna, bukan dari data GNSS/GPS. Ini menunjukkan bahwa data tersebut tidak sepenuhnya berasal dari SDK data lokasi”
    • Sulit mengatakan bahwa mempermasalahkan game yang melacak semua IP yang digunakannya lalu mencoba melacak lokasi dari sana adalah hal yang berlebihan
      Game sama sekali tidak seharusnya mencoba melacak lokasi saya, dan tidak boleh mendapat pengecualian hanya karena secara teknis akurasinya rendah
    • Slot iklan seperti ini menggunakan GMS Services, aplikasi sistem bawaan Google Android, dan aplikasi ini memiliki hampir semua izin akses di perangkat, termasuk lokasi
      https://developers.google.com/android/reference/com/google/a...
    • Tinder adalah layanan berbasis lokasi, jadi besar kemungkinan data dikumpulkan lewat situ
      Untuk aplikasi lain, saya kurang tahu
  • comm -12 <(cat gravy_app_list\ -\ count.csv| uvx --from csvkit csvcut -c 2 | rg '\.' | sort) <(adb shell pm list packages -3 | cut -f 2 -d ":" | sort)
    CSV bisa diunduh dari https://docs.google.com/spreadsheets/d/1Ukgd0gIWd9gpV6bOx2pc... untuk mengecek apakah ada kecocokan dengan aplikasi di ponsel
    Melihat daftar saya, ada dua hal yang membuat saya penasaran: aplikasi pengganti PodcastAddict apa yang bagus, apakah di versi berbayar bukan hanya iklan di layar yang hilang tetapi semua traffic iklan juga berhenti, dan bagaimana MS Outlook bisa masuk ke daftar ini sejak awal

    • AntennaPod
    • Daftar ini mencurigakan
      PodcastAddict bahkan tidak meminta izin lokasi[1]
      Jadi bagaimana mungkin bisa mengakses lokasi? Kalau membaca artikelnya dengan saksama, ada catatan bahwa lokasi itu mungkin bukan berasal dari aplikasi Gravy
      Paling banter mereka hanya mendapatkan lokasi IP, dan itu memang informasi yang dikirimkan ke semua situs web yang Anda kunjungi
      Ada bagian yang berbunyi, “Dataset ini tampaknya berasal dari peretasan Gravy, tetapi tidak jelas apakah Gravy mengumpulkan data lokasi ini secara langsung, mendapatkannya dari perusahaan lain, atau perusahaan data lokasi mana yang pada akhirnya memiliki atau mendapat lisensi untuk menggunakannya”
      [1] https://play.google.com/store/apps/details?id=com.bambuna.po...
    • Saya bertanya kepada developer Podcast Addict sambil menyertakan artikelnya, dan jawabannya persis seperti ini
      “Halo, saya tidak mengerti maksud email ini. Tentu saja semua aplikasi podcast terhubung ke konten pihak ketiga untuk streaming, jadi platform hosting, layanan pelacakan, dan layanan iklan yang digunakan para podcaster dapat mengakses alamat IP pengguna.
      Mengatakan aplikasi podcast membocorkan alamat IP sama konyolnya dengan mengatakan browser web melakukan hal itu. Aplikasi hanyalah alat untuk terhubung ke konten pihak ketiga, dan kecuali Anda memakai VPN, server yang Anda hubungi akan selalu bisa mengakses alamat IP Anda.
      Aplikasi ini tidak memiliki lokasi pengguna. Seperti yang Anda lihat, aplikasi tidak meminta izin lokasi, jadi aplikasi tidak punya informasi lokasi untuk dibagikan. Namun IP tentu saja terlihat oleh server mana pun yang Anda hubungi.
      Xavier”
    • Lebih mudah memblokir server iklan di tingkat DNS
      Karena bisa dikonfigurasi, saya memakai NextDNS [1], dan DNS AdGuard [2] kemungkinan juga bekerja dengan baik
      1. https://nextdns.io/
      2. https://adguard-dns.io/en/welcome.html
    • Cara mengurangi dependensi adalah grep -f gravy_app_list\ -\ count.csv <(adb shell pm list packages -3 | cut -d":" -f2)
  • Iklan adalah virus yang menginfeksi seluruh ekosistem

    • Masih banyak misteri tentang virus yang belum terpecahkan, virus mungkin lebih penting bagi ekosistem yang berfungsi daripada yang kita kira, dan ada trik-trik berguna yang hanya bisa dilakukan virus
      Ini justru lebih mirip keracunan timbal
    • Iklan lebih seperti vektor penularan ideal untuk menyebarkan hal-hal berbahaya
      Secara inheren tidak ada yang salah, tetapi orang-orang yang melakukan hal jahat sangat menyukainya
  • Tulisan terkait: FTC mengambil tindakan terhadap Gravy Analytics dan Venntel yang menjual data lokasi, 194 poin·158 komentar
    https://news.ycombinator.com/item?id=42309429

  • https://web.archive.org/web/20250109211053/https://www.wired...
    https://archive.ph/Danyk

  • Saya ingin tahu apakah benar jika dipahami bahwa aplikasi-aplikasi ini bisa melewati izin sistem operasi terkait boleh tidaknya data lokasi digunakan

    • Saya juga penasaran apakah aplikasi di iOS menyalahgunakan Background App Refresh
      Sejauh yang saya pahami, tidak sulit membuat tugas latar belakang yang secara berkala mengirim permintaan jaringan
      Tugas latar belakang itu tinggal mengirim permintaan HTTP ke server jaringan iklan dengan menyertakan suatu pengenal unik, lalu server memproses geolokasi IP-nya
      Di banyak jaringan seluler akurasinya mungkin tidak tinggi, tetapi di beberapa ISP, IP dipilah hingga tingkat lingkungan, jadi lewat Wi-Fi bisa cukup terperinci
      Karena menduga kemungkinan ini, saya mematikan Background App Refresh untuk hampir semua aplikasi, dan tidak ada penurunan pengalaman memakai aplikasi
      Saat memakai 1Blocker, yang membuat VPN dummy di perangkat untuk memblokir permintaan IP pelacak di iOS, saya melihat jumlah permintaan yang diblokir turun drastis setelah Background App Refresh dimatikan
      Sebagiannya diagnostik yang tidak berbahaya seperti Sentry, tetapi sebagian besar bukan begitu
      Saya ingin ada orang yang paham pengembangan iOS menjelaskan apakah ini benar-benar mungkin, dengan mempertimbangkan batasan eksekusi tugas latar belakang
    • Isinya menyatakan, “Sebagian besar dataset geolokasi ini tampaknya disimpulkan dengan mencocokkan alamat IP ke geolokasi. Dengan kata lain, vendor atau sumbernya memperoleh geolokasi dengan memeriksa alamat IP pengguna, bukan dari data GNSS/GPS. Ini menunjukkan bahwa data tersebut tidak sepenuhnya berasal dari SDK data lokasi”
      Mungkin besar kemungkinannya memakai lokasi jika izin diaktifkan, dan jika tidak, beralih ke geolokasi IP
      Real-time bidding adalah mimpi buruk dari sisi privasi; strukturnya menyebarkan perilaku pengguna secara real time ke semua penyedia iklan, lalu bergantung pada janji kelingking bahwa mereka “tidak akan menyalahgunakannya”
    • Bukan
      Di tempat yang memiliki data lokasi presisi, berarti pengguna telah memberikan izin
      Saya tidak tahu kenapa Candy Crush perlu meminta lokasi presisi, tetapi saya cukup yakin CC tidak meminta izin seperti itu
  • Secara pribadi, saya menunggu Tinder mendapat pukulan keras dari pemerintah
    Kekuatan monopoli yang dimilikinya setelah menggabungkan beberapa aplikasi kencan benar-benar tidak masuk akal
    Semua orang mengeluhkan eksternalitas sosial akibat bangkitnya internet, tetapi dalam jangka panjang sulit untuk mengatakan ada banyak variabel yang lebih penting daripada ini bagi keberhasilan sebuah negara

    • Saya penasaran, apa tepatnya masalah dengan Tinder?
      Saya belum pernah memakainya, tetapi kira-kira menganggapnya seperti Facebook untuk seks
      Apakah lebih buruk daripada layanan-layanan Meta?