- Các tệp bị hack từ Gravy Analytics đã làm lộ tên của hàng nghìn ứng dụng cùng dữ liệu vị trí, cho thấy khả năng cao các ứng dụng phổ biến đã bị dùng để thu thập vị trí nhạy cảm thông qua hệ sinh thái quảng cáo chứ không phải SDK do nhà phát triển tích hợp
- Con đường trọng yếu bị chỉ ra là RTB bid stream trong đấu giá quảng cáo thời gian thực; ngay cả khi quảng cáo không thực sự được phân phối, các bên tham gia kết nối vẫn có thể thu thập vị trí thiết bị và vị trí suy ra từ IP
- Danh sách bao gồm Candy Crush, Tinder, Grindr, MyFitnessPal, Flightradar24, Tumblr, Microsoft 365, Yahoo Mail, cùng với các ứng dụng theo dõi thai kỳ và kinh nguyệt, ứng dụng tôn giáo và ứng dụng VPN
- Gravy đã bán dữ liệu vị trí cho khách hàng thương mại và cũng cung cấp cho các cơ quan chính phủ Mỹ thông qua công ty con Venntel; dữ liệu của Venntel từng được dùng trong các công cụ giám sát do chính phủ mua như Locate X
- Ngay cả khi nhà phát triển ứng dụng không trực tiếp thêm mã thu thập vị trí, dữ liệu vẫn có thể rò rỉ trong quá trình đấu giá quảng cáo, khiến trọng tâm bảo vệ người dùng mở rộng từ bản thân ứng dụng sang chuỗi cung ứng công nghệ quảng cáo
Chuỗi cung ứng dữ liệu vị trí bị lộ qua các tệp hack của Gravy
- Các tệp bị hack bao gồm hàng nghìn ứng dụng Android và iOS, và một số tệp ghi kèm tên ứng dụng bên cạnh từng dữ liệu vị trí
- Dữ liệu chứa hàng chục triệu tọa độ của thiết bị di động tại Mỹ, Nga và châu Âu
- Vì con đường thu thập dường như là hệ sinh thái quảng cáo chứ không phải mã do nhà sản xuất ứng dụng thêm vào, không chỉ người dùng mà cả nhà phát triển ứng dụng cũng có thể đã không biết việc thu thập này
- Một số dữ liệu vị trí không có dấu thời gian, nhưng danh sách có Call of Duty: Mobile Season 5 phát hành vào tháng 5/2024, để lại manh mối rằng đây là dữ liệu của năm 2024
- Chưa rõ Gravy tự thu thập dữ liệu này, mua từ công ty khác, hay công ty dữ liệu vị trí nào cuối cùng sở hữu hoặc cấp phép dữ liệu đó
Các ứng dụng được đưa vào và danh sách công khai
- 404 Media đã trích xuất tên ứng dụng từ các tệp bị hack để lập danh sách và công khai toàn bộ tại Google Sheets
- Danh sách ứng dụng trải rộng trên nhiều nhóm như game, hẹn hò, sức khỏe, giao thông, công việc, tôn giáo và VPN
- Game: Candy Crush, Temple Run, Subway Surfers, Harry Potter: Puzzles & Spells
- Ứng dụng hẹn hò: Tinder, Grindr
- Ứng dụng sức khỏe và lối sống: MyFitnessPal, My Period Calendar & Tracker
- Ứng dụng giao thông và hàng không: Moovit, Flightradar24
- Ứng dụng xã hội và công việc: Tumblr, Yahoo Mail, Microsoft 365
- Ứng dụng thuộc nhóm nhạy cảm: ứng dụng theo dõi thai kỳ, ứng dụng cầu nguyện Hồi giáo, ứng dụng Kinh Thánh Cơ Đốc, nhiều ứng dụng VPN
- Cả ứng dụng Android và iOS đều được đưa vào, và các mục trùng lặp với tên hơi khác nhau vẫn được giữ lại để người dùng dễ tìm ứng dụng đã cài
- Nhiều nhà nghiên cứu bảo mật cũng đã công bố riêng các danh sách ứng dụng với quy mô khác nhau
Vì sao RTB bị xem là con đường trọng yếu
- Zach Edwards của Silent Push đánh giá dữ liệu Gravy dường như là bằng chứng công khai cho thấy dữ liệu không đến từ mã nhúng trong ứng dụng mà được lấy từ luồng đấu giá quảng cáo trực tuyến
- Trước đây, các công ty dữ liệu vị trí từng trả tiền cho nhà phát triển ứng dụng để chèn gói mã thu thập vị trí, nhưng hiện nay cũng có cách lấy thông tin vị trí trong quá trình đấu giá quảng cáo bên trong ứng dụng
- Trong đấu giá thời gian thực, các công ty đặt giá để mua vị trí quảng cáo trong ứng dụng, và các nhà môi giới dữ liệu có thể theo dõi quá trình đó để thu thập vị trí thiết bị di động
- Các công ty giám sát có thể tiếp cận dữ liệu RTB bằng cách mua lại công ty công nghệ quảng cáo hoặc đóng vai nhà quảng cáo tiềm năng
- Không cần thực sự thắng thầu hay hiển thị quảng cáo
- Chỉ cần kết nối với ngành quảng cáo cũng có thể thu thập dữ liệu thiết bị
- Trong trường hợp này, dữ liệu vị trí có thể bao gồm địa chỉ IP của người dùng, và IP có thể được chuyển đổi thành vị trí địa lý để suy ra vị trí tương đối
Những dấu hiệu kỹ thuật mà các nhà nghiên cứu quan sát được
- Krzysztof Franaszek, nhà sáng lập Adalytics, đánh giá rằng một phần dữ liệu nhiều khả năng được lấy từ RTB liên quan đến quảng cáo
- User-agent trong một số tệp có chuỗi
afma-sdk, đây là chuỗi được dùng trong Google Mobile Ads SDK - Dấu hiệu này cho thấy trong một số trường hợp, nền tảng quảng cáo của Google đã phân phối quảng cáo và luồng quảng cáo đó có thể đã dẫn tới việc bị theo dõi bởi công ty bên ngoài hoặc nhà thầu tiềm năng của chính phủ
- Franaszek cho rằng phần đáng kể dữ liệu không phải từ GNSS/GPS mà được suy ra từ tra cứu vị trí địa lý dựa trên địa chỉ IP
- Edwards nhận định phạm vi ứng dụng rất đa dạng này giống mô hình thu thập RTB quy mô lớn hơn là thu thập dựa trên SDK
- Google và Apple không phản hồi nhiều lần đề nghị bình luận
Mối liên hệ giữa Gravy, Venntel và công cụ giám sát của chính phủ
- Gravy là công ty tổng hợp dữ liệu vị trí di động từ nhiều nguồn và bán cho các công ty thương mại
- Thông qua công ty con Venntel, công ty này cũng đã bán dữ liệu vị trí cho các cơ quan chính phủ Mỹ
- Khách hàng của Venntel từng bao gồm Immigration and Customs Enforcement, Customs and Border Protection, IRS, FBI và Drug Enforcement Administration
- Venntel đã cung cấp dữ liệu nền cho Locate X, công cụ giám sát do chính phủ mua của Babel Street
- 404 Media và các cơ quan báo chí khác từng cho thấy năm ngoái rằng Locate X có thể được dùng để theo dõi những người đến phòng khám phá thai ở bang khác
Phản ứng từ các công ty ứng dụng
- Flightradar24 cho biết họ chưa từng nghe về Gravy nhưng có hiển thị quảng cáo, và quảng cáo giúp giữ cho Flightradar24 miễn phí
- Tinder cho biết không có quan hệ với Gravy Analytics và không có bằng chứng dữ liệu đó được lấy từ ứng dụng Tinder, nhưng không trả lời câu hỏi về quảng cáo trong ứng dụng
- Muslim Pro cho biết họ không biết Gravy là gì và có hiển thị quảng cáo qua nhiều mạng quảng cáo để hỗ trợ bản miễn phí, nhưng không cho phép các mạng đó thu thập dữ liệu vị trí người dùng
- Grindr cho biết chưa từng làm việc với Gravy Analytics hay cung cấp dữ liệu cho công ty này, không chia sẻ dữ liệu với bên tổng hợp hoặc môi giới dữ liệu và đã nhiều năm không chia sẻ thông tin vị trí với đối tác quảng cáo
- Phần lớn nhà phát triển ứng dụng và công ty đã không phản hồi yêu cầu bình luận
Quy định và việc kiểm chứng dữ liệu
- Tháng 12/2024, FTC cấm Mobilewalla thu thập dữ liệu người tiêu dùng từ các cuộc đấu giá quảng cáo trực tuyến để dùng cho mục đích ngoài việc tham gia đấu giá
- FTC cho biết Venntel và Gravy đã thu thập dữ liệu mà không có sự đồng ý của người dùng, đồng thời yêu cầu xóa dữ liệu vị trí trong quá khứ
- Việc bán dữ liệu liên quan đến địa điểm nhạy cảm như phòng khám sức khỏe và nơi thờ tự cũng bị cấm, dù vẫn còn ngoại lệ hạn chế liên quan đến an ninh quốc gia hoặc thực thi pháp luật
- 404 Media đã kiểm chứng dữ liệu Gravy bị hack theo nhiều cách
- Một số tệp chứa thông tin xác thực cho phiên bản Gravy của công cụ kho dữ liệu Snowflake
- Họ kiểm tra xem URL trong các tệp bị hack có khớp với phiên bản Snowflake thực tế hay không
- Tệp
userscó chứa danh sách công ty, và một số công ty phủ nhận có quan hệ với Gravy
- Cuebiq cho biết họ thường xuyên đánh giá dữ liệu thị trường, nhưng trường hợp này chỉ là thử nghiệm trên mẫu dữ liệu hạn chế, không được cung cấp cho khách hàng và đã bị xóa sau khi kết thúc thử nghiệm
- Datonics cho biết segment ID trong tệp không phải của Datonics mà là của Gravy
- Unacast, công ty sáp nhập với Gravy vào năm 2023, đã không phản hồi nhiều yêu cầu bình luận về vụ hack và việc dữ liệu vị trí có được suy ra từ RTB hay không
1 bình luận
Ý kiến trên Hacker News
Mỗi khi bạn thấy một quảng cáo banner nhỏ ở cuối ứng dụng, một phiên đấu giá tức thời sẽ diễn ra cho vị trí quảng cáo đó
Khi Google chuyển thông tin cho các bên đặt giá, họ sẽ tính toán xem sẵn sàng trả bao nhiêu để hiển thị quảng cáo đó
Tức là ngay cả bên thua trong phiên đấu giá cũng nhận được thác dữ liệu, và ngay từ đầu đã tồn tại những công ty tham gia đấu giá với mục đích thu thập dữ liệu trong khi thua đấu giá
Vì vậy cũng không có gì đáng ngạc nhiên khi In-Q-Tel, bộ phận đầu tư không bí mật của CIA, đã đầu tư vào các công ty phân tích kiểu này, tức các công ty giám sát kỹ thuật số
https://www.ftc.gov/news-events/news/press-releases/2024/12/...
Đây là nội dung đơn khiếu nại của FTC rằng khi Mobilewalla đặt giá cho vị trí quảng cáo của khách hàng trên các sàn giao dịch đấu thầu quảng cáo thời gian thực, họ đã thu thập và lưu giữ thông tin trong yêu cầu đặt giá một cách không chính đáng, dù không trúng thầu
Từ tháng 1/2018 đến tháng 6/2020, công ty đã thu thập hơn 500 triệu mã định danh quảng cáo người tiêu dùng duy nhất kèm dữ liệu vị trí chính xác; dữ liệu vị trí thô không được ẩn danh và cũng không có chính sách loại bỏ các vị trí nhạy cảm, nên có thể xác định thiết bị cá nhân và các địa điểm đã ghé thăm
Theo đó, họ đã bán quyền truy cập vào dữ liệu thô này cho các bên thứ ba như nhà quảng cáo, data broker và công ty phân tích
Nếu tham gia header bidding, bạn sẽ nhận được dữ liệu tương tự như những gì có thể thấy khi vận hành một website di động phổ biến
Việc In-Q-Tel đầu tư vào một mô hình kinh doanh chênh lệch giá tốt như sàn giao dịch không có gì đáng ngạc nhiên; đó chỉ là các nhà đầu tư giỏi thực hiện các khoản đầu tư tốt, chứ không có vẻ là một chiến lược giám sát đầy hoài nghi
Nhưng Google không thực thi điều này, vì đây là cách bán dữ liệu người dùng mà không bán dữ liệu người dùng một cách công khai
Một cách ngây thơ, tôi từng nghĩ Google xử lý các lượt đặt giá như vậy nội bộ
Phần bài viết không đề cập là vị trí được thu thập như thế nào
Gọi định vị địa lý theo IP là thu thập dữ liệu vị trí thì hơi gượng, vì nó thường không chính xác bằng việc lấy vị trí địa lý trực tiếp, nên cũng không cần phải nhận từ broker
Nhưng trên Android, cả ACCESS_COARSE_LOCATION lẫn ACCESS_FINE_LOCATION đều cần hộp thoại xin quyền, nên tôi tò mò chính xác cơ chế này hoạt động ra sao
Có đoạn nói rằng: “Phần đáng kể của bộ dữ liệu vị trí địa lý này có vẻ được suy luận bằng cách tra cứu địa chỉ IP sang vị trí địa lý. Nghĩa là nhà cung cấp hoặc nguồn của họ xác định địa chỉ IP của người dùng, chứ không phải dữ liệu GNSS/GPS, để suy ra vị trí địa lý. Điều này cho thấy dữ liệu không hoàn toàn đến từ SDK dữ liệu vị trí”
Trò chơi không nên cố theo dõi vị trí của tôi dưới bất kỳ hình thức nào, và không nên được miễn trách nhiệm chỉ vì về mặt kỹ thuật độ chính xác thấp
https://developers.google.com/android/reference/com/google/a...
Các ứng dụng khác thì tôi không rõ
comm -12 <(cat gravy_app_list\ -\ count.csv| uvx --from csvkit csvcut -c 2 | rg '\.' | sort) <(adb shell pm list packages -3 | cut -f 2 -d ":" | sort)Có thể tải CSV từ https://docs.google.com/spreadsheets/d/1Ukgd0gIWd9gpV6bOx2pc... rồi kiểm tra xem có mục nào khớp trong các ứng dụng trên điện thoại không
Nhìn danh sách của tôi thì có hai điều tôi thắc mắc: ứng dụng thay thế PodcastAddict nào là tốt, liệu bản trả phí có dừng toàn bộ lưu lượng quảng cáo chứ không chỉ ẩn quảng cáo trên màn hình hay không, và ngay từ đầu MS Outlook đã lọt vào danh sách này bằng cách nào
PodcastAddict thậm chí còn không yêu cầu quyền vị trí[1]
Vậy làm sao nó có thể truy cập vị trí được? Nếu đọc kỹ bài viết, họ cũng gợi ý rằng vị trí có thể không đến từ ứng dụng của Gravy
Cùng lắm thì chỉ lấy được vị trí theo IP, mà đó dù sao cũng là thông tin được gửi cho mọi website bạn truy cập
Có đoạn nói rằng “bộ dữ liệu này dường như đến từ vụ hack Gravy, nhưng không rõ Gravy có trực tiếp thu thập dữ liệu vị trí này hay không, lấy từ công ty khác hay không, và công ty dữ liệu vị trí nào rốt cuộc sở hữu hoặc được cấp phép sử dụng nó”
[1] https://play.google.com/store/apps/details?id=com.bambuna.po...
“Xin chào, tôi không hiểu email này nói về điều gì. Tất nhiên mọi ứng dụng podcast đều kết nối tới nội dung của bên thứ ba để streaming, nên các nền tảng hosting, dịch vụ theo dõi và dịch vụ quảng cáo mà podcaster dùng có thể truy cập địa chỉ IP của người dùng.
Nói một ứng dụng podcast làm rò rỉ địa chỉ IP cũng ngớ ngẩn như nói trình duyệt web làm vậy. Nó chỉ là một công cụ kết nối tới nội dung của bên thứ ba, và trừ khi bạn dùng VPN, máy chủ mà bạn kết nối tới luôn có thể truy cập địa chỉ IP.
Ứng dụng không có vị trí của người dùng. Như bạn thấy, ứng dụng không yêu cầu quyền vị trí nên không có thông tin vị trí nào để chia sẻ. Tuy nhiên IP tất nhiên sẽ được công khai với bất kỳ máy chủ nào mà ứng dụng kết nối tới.
Xavier”
Vì có thể cấu hình được nên tôi đang dùng NextDNS [1], và DNS của AdGuard [2] có lẽ cũng hoạt động tốt
grep -f gravy_app_list\ -\ count.csv <(adb shell pm list packages -3 | cut -d":" -f2)Quảng cáo là một loại virus lây nhiễm toàn bộ hệ sinh thái
Cái này giống nhiễm độc chì hơn
Bản chất nó không nhất thiết sai, nhưng những kẻ làm việc xấu lại quá thích nó
Bài liên quan: FTC đã có động thái với Gravy Analytics và Venntel vì bán dữ liệu vị trí, 194 điểm · 158 bình luận
https://news.ycombinator.com/item?id=42309429
https://web.archive.org/web/20250109211053/https://www.wired...
https://archive.ph/Danyk
https://docs.google.com/spreadsheets/d/1Ukgd0gIWd9gpV6bOx2pc...
https://gist.github.com/fs0c131y/f498b21cba9ee23956fc7d76292...
Tôi đang hiểu rằng các ứng dụng này có thể né quyền của hệ điều hành về việc có cho phép dữ liệu vị trí hay không, không biết như vậy có đúng không
Theo tôi hiểu thì không khó để tạo một tác vụ nền định kỳ gửi yêu cầu mạng
Tác vụ nền chỉ cần gửi một yêu cầu HTTP có kèm một định danh duy nhất nào đó đến máy chủ mạng quảng cáo, rồi máy chủ xử lý định vị địa lý theo IP là được
Trên nhiều mạng di động độ chính xác sẽ không cao, nhưng một số ISP phân chia IP chi tiết đến mức khu phố, nên trên Wi‑Fi có thể khá chi tiết
Vì dự đoán khả năng này, tôi đã tắt Background App Refresh cho gần như mọi ứng dụng và không thấy trải nghiệm ứng dụng bị giảm sút
Tôi dùng 1Blocker, vốn tạo một VPN giả lập ngay trên thiết bị để chặn các yêu cầu IP của trình theo dõi trên iOS, và thấy rằng khi tắt Background App Refresh thì số yêu cầu bị chặn giảm mạnh
Một phần là các chẩn đoán vô hại như Sentry, nhưng phần lớn thì không phải vậy
Mong ai quen phát triển iOS giải thích liệu điều này có thực sự khả thi khi xét đến các giới hạn thực thi của tác vụ nền hay không
Có lẽ nếu quyền được bật thì họ dùng vị trí, còn nếu không thì nhiều khả năng thay thế bằng định vị địa lý theo IP
Đấu giá thời gian thực là cơn ác mộng về quyền riêng tư; nó phát tán hành vi của người dùng theo thời gian thực cho mọi nhà cung cấp quảng cáo, rồi dựa vào lời hứa kiểu “móc ngoéo” rằng họ sẽ không lạm dụng
Ở những nơi có dữ liệu vị trí chính xác, tức là người dùng đã cấp quyền
Tôi không biết vì sao Candy Crush lại cần yêu cầu vị trí chính xác, nhưng tôi khá chắc CC không yêu cầu quyền như vậy
Cá nhân tôi đang chờ Tinder bị chính phủ giáng búa
Quyền lực độc quyền mà họ có sau khi gom nhiều ứng dụng hẹn hò lại với nhau thật sự vô lý
Mọi người đều phàn nàn về các ngoại tác xã hội do sự trỗi dậy của Internet tạo ra, nhưng về dài hạn, khó có thể nói có nhiều biến số quan trọng hơn thế này đối với thành công của một quốc gia
Chưa từng dùng, nhưng đại khái tôi nghĩ nó như Facebook dành cho tình dục
Nó còn tệ hơn các dịch vụ của Meta sao?