《世界報》最近的一項調查(新視窗)顯示,與智慧型手機上的廣告連結的資料,如何暴露法國警察、軍隊和情報人員(包括精銳部隊成員)的身分和日常行蹤。

至關重要的是,這並非駭客攻擊或失誤的結果。這些高度敏感的資訊是從公開可得且廣泛交易的消費者資料集中獲取的。內崁廣告追蹤技術的普通應用程式收集了他們的位置,並將其出售給資料經紀商

除了這項調查引發的顯而易見的國家安全疑慮外,它還顯示了透過完全沒有隱私保護和監督的消費者廣告生態系統,廣告商可以輕易取得多少關於我們日常生活的私密資料。

您的應用程式正在悄悄共享您的去處

這種「駭客」行為利用了您的裝置一直在傳送的被動資料。運作方式如下:

大多數免費廣告透過廣告聯播網提供的小段代碼賺錢,這些代碼被稱為廣告軟體開發套件 (SDK),每次您開啟應用程式或載入廣告時,它們都會收集資料。這些資料可能包括:

  • 您的手機廣告 ID(一個獨特的追蹤程式)
  • 您的 IP 位址(新視窗)
  • 位置資訊(我們將在下面討論這一點)
  • 您正在使用的應用程式
  • 您何時使用它

應用程式會在背景持續共享這些資料(即使您什麼都沒做),通常會將其傳送到 SDK 的伺服器,而不是應用程式開發人員的伺服器。從這裡,資料被轉售給資料經紀商,他們將來自數千個應用程式的資訊組合成您位置的詳細歷史記錄。

這些資料並非匿名的

您的 IP 位址可唯一識別您的手機,並可用於粗略估計您的位置,大約在一個城市的距離範圍內。然而,您的 IP 位址是一個廣為人知的隱私危險,並且可以使用 VPN 輕易隱藏(新視窗)。更陰險的是那些聲稱「匿名」追蹤您的技術。

位置資訊

Android 和 iOS 都包含細緻的隱私控制,允許您拒絕應用程式存取您的位置(這主要意味著直接存取您的 GPS 資料)。然而,應用程式可以使用它們可以存取的手機上其他資料點,以驚人的準確度推斷您的位置:

  • 附近的 WiFi 網路(在全域資料庫中有對應圖資)
  • 藍牙信標(通常位於商店、活動和交通系統中)
  • 感測器(包括移動模式和基地台跳躍)

廣告 ID

您的手機廣告 ID(Android 上為 AAID,iOS 上為 IDFA)是一個持久且獨特的裝置識別碼,專門為了允許跨應用程式追蹤而建立。理論上,它不與您的姓名綁定,但因為廣告 SDK 可以存取您的位置資料:

  • 它知道您在哪裡睡覺
  • 它知道您在哪裡工作
  • 它可以追蹤您造訪的健身房、酒吧、商店和朋友,並將其與其有權存取的其他資訊(例如您的社群媒體存在)結合,從您的日常作息中推斷出您的身分。

這被稱為移動模式去匿名化(新視窗),其唯一識別您的能力已在研究(新視窗)中反覆得到證實。事實上,這正是《世界報》所做的。

資料經紀商大量購買這些資料

廣告 SDK 供應商和廣告科技公司將這些遙測資料出售或共享給資料經紀商,後者會:

  • 從數百萬個應用程式中彙總資料
  • 建立裝置層級的移動歷史記錄
  • 將資料集轉售給廣告商、避險基金、政治競選活動以及任何願意付費的人

這些資料集可能包含數十億個與廣告 ID 綁定的精確位置 ping。

《世界報》的調查

《世界報》記者只是從資料經紀商那裡購買了這些公開可得的資料集,並用它們來尋找晚上在一個地址(可能是使用者的家)過夜,白天定期造訪某個位置(可能是使用者的工作場所)的裝置。如果這些工作場所是已知的敏感設施,例如 DGSE 總部(法國相當於 CIA 的機構)、軍事基地或核子設施,就很容易推斷出擁有者在政府組織中的角色。

然後,他們能夠將其移動模式與公開可得的資訊(例如社群媒體活動、LinkedIn 個人檔案和財產記錄)進行交叉比對,以確定個人的身分。利用這項技術,《世界報》去匿名化並追蹤了以下人員的私密日常行蹤:

  • 法國情報部門的情報官員
  • 精銳警察部隊和保護服務
  • 像 GIGN 這樣的干預部隊成員
  • 駐紮在關鍵基地(包括核威懾設施)的軍事人員
  • 國防工業高階主管
  • 監獄工作人員
  • 核電廠員工

《世界報》的調查與聯合衝突分析師研究所 (Institute for United Conflict Analysts) 2017 年的一份報告相呼應,該報告能夠利用士兵上載到 Strava 健身追蹤公司的公開運動資料,精確定位世界各地美軍基地和間諜前哨的位置和人員配置(新視窗)

為什麼這很重要

這種公共資料如何被濫用的國家安全影響是顯而易見的。然而,它也顯示了我們有多少日常數位生活正受到悄悄的監控和變現。廣告追蹤資料可以揭露:

  • 您住在哪裡
  • 您在哪裡工作
  • 您的作息和習慣
  • 您的人際關係
  • 您的政治或宗教信仰
  • 您的醫生預約
  • 您去的每一個地方(每小時一次,精確度在幾公尺以內)

在這種無孔不入的廣告驅動監控和資料共享下,敏感資訊最終落入想要濫用它的人手中是不可避免的。例如,犯罪分子可以利用它讓社交工程攻擊更可信,或者跟蹤者可以利用它來追蹤您(新視窗)。基於監控的廣告對您的身分、財務和人身安全構成了直接威脅。

您能做些什麼?

無法阻止所有類型的追蹤,但您可以採取以下行動來減少收集到的資料集的細緻程度:

  • 不使用時關閉位置服務(新視窗),並拒絕應用程式的位置權限。
  • 使用 VPN(新視窗) 隱藏您的真實 IP 位址。DNS 過濾功能(例如 Proton VPN 的 NetShield Ad-blocker(新視窗))也可以協助封鎖廣告和追蹤程式指令碼。
  • 刪除您在 Android 上的廣告 ID(設定Google所有服務廣告隱私權和安全性廣告刪除廣告 ID)。iPhone 不提供此選項。
顯示如何在 Android 上刪除您的廣告 ID 的螢幕擷取畫面

如果精銳安全部隊都可能暴露,那麼任何人都有可能

《世界報》的調查顯示,無孔不入且不受監管的廣告的危險不僅僅是理論上的擔憂。調查中指認的個人並沒有做任何粗心的事:他們只是像我們所有人一樣,使用安裝了普通應用程式的普通智慧型手機。

問題是結構性的。廣告公司收集太多資料,應用程式開發人員內崁他們不完全了解的追蹤工具,或者只是將利潤置於使用者的安全之上,資料經紀商將位置資料集出售給幾乎任何人,而監管機構基本上是無效的。

當整個產業都建立在持續的位置監控之上時,即使是訓練有素的專業人員也無法避免被追蹤。您也一樣。