O investigație(fereastră nouă) recentă realizată de Le Monde arată cum datele asociate cu publicitatea pe smartphone-uri pot expune identitățile și mișcările zilnice ale poliției, armatei și personalului de informații din Franța (inclusiv membrii unităților de elită).

Esențial este că acesta nu a fost rezultatul unui hacking sau al unei gafe. Aceste informații extrem de sensibile au fost recoltate din seturi de date de consumatori disponibile public și tranzacționate la scară largă. Aplicații obișnuite cu tehnologie de urmărire a reclamelor încorporată au colectat locul acestora și l-au vândut către brokeri de date.

Pe lângă îngrijorările evidente privind securitatea națională ridicate de această investigație, aceasta arată cât de multe date intime despre viețile noastre de zi cu zi sunt ușor disponibile pentru agenții de publicitate printr-un ecosistem de reclame pentru consumatori care nu are protecții de confidențialitate și nicio supraveghere.

Aplicațiile dvs. partajează în liniște unde mergeți

Acest „hack” exploatează date pasive pe care dispozitivele dvs. le trimit tot timpul. Iată cum funcționează:

Majoritatea reclamelor gratuite fac bani din mici fragmente de cod furnizate de rețelele de publicitate, cunoscute sub numele de kituri de dezvoltare software (SDK-uri) de publicitate, care colectează date de fiecare dată când deschideți o aplicație sau încărcați o reclamă. Aceste date pot include:

  • ID-ul de publicitate al telefonului dvs. (un urmăritor unic)
  • Adresa dvs. IP(fereastră nouă)
  • Informații despre loc (vom discuta despre asta mai jos)
  • Ce aplicație folosiți
  • Când o folosiți

Aplicațiile partajează aceste date constant în fundal (chiar și când nu faceți nimic), de obicei trimițându-le către serverele SDK-ului, nu ale dezvoltatorului aplicației. De aici, sunt vândute brokerilor de date care combină informații din mii de aplicații într-un istoric detaliat al locului dvs.

Aceste date nu sunt anonime

Adresa dvs. IP vă identifică în mod unic telefonul și poate fi folosită pentru a estima aproximativ locul dvs., cu o precizie la nivel de oraș. Totuși, adresa dvs. IP este un pericol de confidențialitate cunoscut pe scară largă și poate fi ușor ascunsă folosind un VPN(fereastră nouă). Mai insidioase sunt tehnologiile care pretind că vă urmăresc „anonim”.

Informații despre loc

Atât Android, cât și iOS includ controale granulare de confidențialitate care vă permit să refuzați aplicațiilor accesarea locului dvs. (ceea ce înseamnă în principal accesarea directă a datelor GPS). Totuși, aplicațiile pot folosi date din alte puncte de date de pe telefonul dvs. pe care le pot accesa pentru a deduce locul dvs. cu o precizie surprinzătoare:

  • Rețele Wi-Fi din apropiere (care sunt mapate în baze de date globale)
  • Balize Bluetooth (adesea situate în magazine, la evenimente și în sistemele de tranzit)
  • Senzori (inclusiv tipare de mișcare și salturi între turnurile celulare)

ID de publicitate

ID-ul de publicitate al telefonului dvs. (AAID pe Android, IDFA pe iOS) este un identificator persistent și unic al dispozitivului, creat special pentru a permite urmărirea între aplicații. În teorie, nu este legat de numele dvs., dar deoarece SDK-ul de publicitate are acces la datele dvs. despre loc:

  • Știe unde dormiți
  • Știe unde lucrați
  • Poate urmări sala de sport, barul, magazinele și prietenii pe care îi vizitați și poate combina aceste informații cu altele la care are acces (cum ar fi prezența dvs. pe social media) pentru a deduce identitatea dvs. din rutinele zilnice.

Acest lucru se numește deanonimizarea tiparelor de mobilitate(fereastră nouă), iar capacitatea sa de a vă identifica în mod unic a fost dovedită în mod repetat în cercetări(fereastră nouă). Într-adevăr, exact asta a făcut Le Monde.

Brokerii de date cumpără aceste date în vrac

Furnizorii de SDK-uri de publicitate și companiile de tehnologie publicitară vând sau partajează această telemetrie cu brokerii de date, care:

  • O agreghează din milioane de aplicații
  • Construiesc istorice de mișcare la nivel de dispozitiv
  • Revând seturi de date către agenții de publicitate, fonduri de hedging, campanii politice și oricine altcineva dispus să plătească

Aceste seturi de date pot include miliarde de ping-uri precise de loc legate de ID-urile de publicitate.

Investigația Le Monde

Jurnaliștii de la Le Monde pur și simplu au achiziționat aceste seturi de date disponibile public de la brokeri de date și le-au folosit pentru a căuta dispozitive care au petrecut nopțile la o adresă (probabil locuința utilizatorului) și au vizitat regulat un loc în timpul zilei (probabil locul de muncă al utilizatorului). Dacă aceste locuri de muncă erau facilități sensibile cunoscute, cum ar fi sediul DGSE (echivalentul francez al CIA), o bază militară sau un sit nuclear, a fost ușor să deducă rolul proprietarului într-o organizație guvernamentală.

Apoi au putut să compare tiparele lor de mișcare cu informații disponibile public, cum ar fi activitatea pe social media, profilurile LinkedIn și înregistrările de proprietate, pentru a determina identitățile individului. Folosind această tehnică, Le Monde a deanonimizat și a urmărit mișcările zilnice intime ale:

  • Ofițeri de informații din serviciile franceze
  • Unități de poliție de elită și servicii de protecție
  • Membri ai forțelor de intervenție precum GIGN
  • Personal militar staționat la baze cheie (inclusiv facilități de descurajare nucleară)
  • Directori din industria de apărare
  • Personal din închisori
  • Angajați ai centralelor nucleare

Investigația Le Monde amintește îndeaproape de un raport din 2017 al Institutului pentru Analiști de Conflicte Unite, care a reușit să localizeze cu precizie locul și personalul bazelor militare americane(fereastră nouă) și al avanposturilor de spionaj din întreaga lume folosind date despre exerciții disponibile public pe care soldații le-au încărcat în compania de urmărire a fitnessului Strava.

De ce contează acest lucru

Implicațiile de securitate națională ale modului în care aceste date publice pot fi abuzate sunt clare. Totuși, acest lucru arată și cât de mult din viețile noastre digitale de zi cu zi este monitorizat și monetizat în liniște. Datele de urmărire a reclamelor pot dezvălui:

  • Unde locuiți
  • Unde lucrați
  • Rutinele și obiceiurile dvs.
  • Relațiile dvs.
  • Afilierile dvs. politice sau religioase
  • Programările dvs. la medic
  • Peste tot unde mergeți (oră de oră și cu o precizie de câțiva metri)

Cu o astfel de supraveghere omniprezentă bazată pe reclame și partajarea datelor, devine inevitabil ca informațiile sensibile să ajungă în cele din urmă în mâinile oamenilor care vor să abuzeze de ele. De exemplu, infractorii le-ar putea folosi pentru a face atacurile de inginerie socială mai credibile, sau urmăritorii le-ar putea folosi pentru a vă da de urmă(fereastră nouă). Publicitatea bazată pe supraveghere creează o amenințare directă la adresa identității, finanțelor și siguranței fizice a dvs.

Ce puteți face în legătură cu asta?

Nu există nicio modalitate de a opri toate tipurile de urmărire, dar puteți lua următoarele măsuri pentru a reduce granularitatea seturilor de date colectate:

  • Opriți serviciile de localizare(fereastră nouă) când nu sunt utilizate și refuzați permisiunile de localizare pentru aplicații.
  • Folosiți un VPN(fereastră nouă) pentru a vă ascunde adresa IP reală. Funcțiile de filtrare DNS, cum ar fi NetShield Ad-blocker(fereastră nouă) de la Proton VPN, pot ajuta, de asemenea, la blocarea scripturilor de reclame și a urmăritorilor.
  • Ștergeți ID-ul de publicitate pe Android (SetăriGoogleToate serviciileAnunțuriConfidențialitate și securitateAnunțuriȘterge ID-ul de publicitate). iPhone-urile nu oferă această opțiune.
Captură de ecran care arată cum să ștergeți ID-ul de publicitate pe Android

Dacă unitățile de securitate de elită pot fi expuse, oricine poate fi

Investigația Le Monde arată că pericolele publicității omniprezente și nereglementate nu sunt doar o preocupare teoretică. Indivizii identificați în investigație nu făcuseră nimic neglijent: Pur și simplu foloseau smartphone-uri normale cu aplicații normale. Ca noi toți.

Problema este structurală. Companiile de publicitate colectează prea multe date, dezvoltatorii de aplicații încorporează instrumente de urmărire pe care nu le înțeleg pe deplin sau pur și simplu prioritizează profiturile în detrimentul preocupării pentru siguranța utilizatorilor lor, brokerii de date vând seturi de date despre loc către aproape oricine, iar autoritățile de reglementare sunt în mare parte ineficiente.

Când o întreagă industrie este construită în jurul supravegherii constante a locului, nici măcar profesioniștii foarte bine instruiți nu pot evita să fie urmăriți. Și nici dvs. nu puteți.