2 điểm bởi GN⁺ 2025-01-11 | 1 bình luận | Chia sẻ qua WhatsApp
  • Các tệp bị hack từ Gravy Analytics đã làm lộ tên của hàng nghìn ứng dụng cùng dữ liệu vị trí, cho thấy khả năng cao các ứng dụng phổ biến đã bị dùng để thu thập vị trí nhạy cảm thông qua hệ sinh thái quảng cáo chứ không phải SDK do nhà phát triển tích hợp
  • Con đường trọng yếu bị chỉ ra là RTB bid stream trong đấu giá quảng cáo thời gian thực; ngay cả khi quảng cáo không thực sự được phân phối, các bên tham gia kết nối vẫn có thể thu thập vị trí thiết bị và vị trí suy ra từ IP
  • Danh sách bao gồm Candy Crush, Tinder, Grindr, MyFitnessPal, Flightradar24, Tumblr, Microsoft 365, Yahoo Mail, cùng với các ứng dụng theo dõi thai kỳ và kinh nguyệt, ứng dụng tôn giáo và ứng dụng VPN
  • Gravy đã bán dữ liệu vị trí cho khách hàng thương mại và cũng cung cấp cho các cơ quan chính phủ Mỹ thông qua công ty con Venntel; dữ liệu của Venntel từng được dùng trong các công cụ giám sát do chính phủ mua như Locate X
  • Ngay cả khi nhà phát triển ứng dụng không trực tiếp thêm mã thu thập vị trí, dữ liệu vẫn có thể rò rỉ trong quá trình đấu giá quảng cáo, khiến trọng tâm bảo vệ người dùng mở rộng từ bản thân ứng dụng sang chuỗi cung ứng công nghệ quảng cáo

Chuỗi cung ứng dữ liệu vị trí bị lộ qua các tệp hack của Gravy

  • Các tệp bị hack bao gồm hàng nghìn ứng dụng Android và iOS, và một số tệp ghi kèm tên ứng dụng bên cạnh từng dữ liệu vị trí
  • Dữ liệu chứa hàng chục triệu tọa độ của thiết bị di động tại Mỹ, Nga và châu Âu
  • Vì con đường thu thập dường như là hệ sinh thái quảng cáo chứ không phải mã do nhà sản xuất ứng dụng thêm vào, không chỉ người dùng mà cả nhà phát triển ứng dụng cũng có thể đã không biết việc thu thập này
  • Một số dữ liệu vị trí không có dấu thời gian, nhưng danh sách có Call of Duty: Mobile Season 5 phát hành vào tháng 5/2024, để lại manh mối rằng đây là dữ liệu của năm 2024
  • Chưa rõ Gravy tự thu thập dữ liệu này, mua từ công ty khác, hay công ty dữ liệu vị trí nào cuối cùng sở hữu hoặc cấp phép dữ liệu đó

Các ứng dụng được đưa vào và danh sách công khai

  • 404 Media đã trích xuất tên ứng dụng từ các tệp bị hack để lập danh sách và công khai toàn bộ tại Google Sheets
  • Danh sách ứng dụng trải rộng trên nhiều nhóm như game, hẹn hò, sức khỏe, giao thông, công việc, tôn giáo và VPN
    • Game: Candy Crush, Temple Run, Subway Surfers, Harry Potter: Puzzles & Spells
    • Ứng dụng hẹn hò: Tinder, Grindr
    • Ứng dụng sức khỏe và lối sống: MyFitnessPal, My Period Calendar & Tracker
    • Ứng dụng giao thông và hàng không: Moovit, Flightradar24
    • Ứng dụng xã hội và công việc: Tumblr, Yahoo Mail, Microsoft 365
    • Ứng dụng thuộc nhóm nhạy cảm: ứng dụng theo dõi thai kỳ, ứng dụng cầu nguyện Hồi giáo, ứng dụng Kinh Thánh Cơ Đốc, nhiều ứng dụng VPN
  • Cả ứng dụng Android và iOS đều được đưa vào, và các mục trùng lặp với tên hơi khác nhau vẫn được giữ lại để người dùng dễ tìm ứng dụng đã cài
  • Nhiều nhà nghiên cứu bảo mật cũng đã công bố riêng các danh sách ứng dụng với quy mô khác nhau

Vì sao RTB bị xem là con đường trọng yếu

  • Zach Edwards của Silent Push đánh giá dữ liệu Gravy dường như là bằng chứng công khai cho thấy dữ liệu không đến từ mã nhúng trong ứng dụng mà được lấy từ luồng đấu giá quảng cáo trực tuyến
  • Trước đây, các công ty dữ liệu vị trí từng trả tiền cho nhà phát triển ứng dụng để chèn gói mã thu thập vị trí, nhưng hiện nay cũng có cách lấy thông tin vị trí trong quá trình đấu giá quảng cáo bên trong ứng dụng
  • Trong đấu giá thời gian thực, các công ty đặt giá để mua vị trí quảng cáo trong ứng dụng, và các nhà môi giới dữ liệu có thể theo dõi quá trình đó để thu thập vị trí thiết bị di động
  • Các công ty giám sát có thể tiếp cận dữ liệu RTB bằng cách mua lại công ty công nghệ quảng cáo hoặc đóng vai nhà quảng cáo tiềm năng
    • Không cần thực sự thắng thầu hay hiển thị quảng cáo
    • Chỉ cần kết nối với ngành quảng cáo cũng có thể thu thập dữ liệu thiết bị
  • Trong trường hợp này, dữ liệu vị trí có thể bao gồm địa chỉ IP của người dùng, và IP có thể được chuyển đổi thành vị trí địa lý để suy ra vị trí tương đối

Những dấu hiệu kỹ thuật mà các nhà nghiên cứu quan sát được

  • Krzysztof Franaszek, nhà sáng lập Adalytics, đánh giá rằng một phần dữ liệu nhiều khả năng được lấy từ RTB liên quan đến quảng cáo
  • User-agent trong một số tệp có chuỗi afma-sdk, đây là chuỗi được dùng trong Google Mobile Ads SDK
  • Dấu hiệu này cho thấy trong một số trường hợp, nền tảng quảng cáo của Google đã phân phối quảng cáo và luồng quảng cáo đó có thể đã dẫn tới việc bị theo dõi bởi công ty bên ngoài hoặc nhà thầu tiềm năng của chính phủ
  • Franaszek cho rằng phần đáng kể dữ liệu không phải từ GNSS/GPS mà được suy ra từ tra cứu vị trí địa lý dựa trên địa chỉ IP
  • Edwards nhận định phạm vi ứng dụng rất đa dạng này giống mô hình thu thập RTB quy mô lớn hơn là thu thập dựa trên SDK
  • Google và Apple không phản hồi nhiều lần đề nghị bình luận

Mối liên hệ giữa Gravy, Venntel và công cụ giám sát của chính phủ

  • Gravy là công ty tổng hợp dữ liệu vị trí di động từ nhiều nguồn và bán cho các công ty thương mại
  • Thông qua công ty con Venntel, công ty này cũng đã bán dữ liệu vị trí cho các cơ quan chính phủ Mỹ
  • Khách hàng của Venntel từng bao gồm Immigration and Customs Enforcement, Customs and Border Protection, IRS, FBI và Drug Enforcement Administration
  • Venntel đã cung cấp dữ liệu nền cho Locate X, công cụ giám sát do chính phủ mua của Babel Street
  • 404 Media và các cơ quan báo chí khác từng cho thấy năm ngoái rằng Locate X có thể được dùng để theo dõi những người đến phòng khám phá thai ở bang khác

Phản ứng từ các công ty ứng dụng

  • Flightradar24 cho biết họ chưa từng nghe về Gravy nhưng có hiển thị quảng cáo, và quảng cáo giúp giữ cho Flightradar24 miễn phí
  • Tinder cho biết không có quan hệ với Gravy Analytics và không có bằng chứng dữ liệu đó được lấy từ ứng dụng Tinder, nhưng không trả lời câu hỏi về quảng cáo trong ứng dụng
  • Muslim Pro cho biết họ không biết Gravy là gì và có hiển thị quảng cáo qua nhiều mạng quảng cáo để hỗ trợ bản miễn phí, nhưng không cho phép các mạng đó thu thập dữ liệu vị trí người dùng
  • Grindr cho biết chưa từng làm việc với Gravy Analytics hay cung cấp dữ liệu cho công ty này, không chia sẻ dữ liệu với bên tổng hợp hoặc môi giới dữ liệu và đã nhiều năm không chia sẻ thông tin vị trí với đối tác quảng cáo
  • Phần lớn nhà phát triển ứng dụng và công ty đã không phản hồi yêu cầu bình luận

Quy định và việc kiểm chứng dữ liệu

  • Tháng 12/2024, FTC cấm Mobilewalla thu thập dữ liệu người tiêu dùng từ các cuộc đấu giá quảng cáo trực tuyến để dùng cho mục đích ngoài việc tham gia đấu giá
  • FTC cho biết Venntel và Gravy đã thu thập dữ liệu mà không có sự đồng ý của người dùng, đồng thời yêu cầu xóa dữ liệu vị trí trong quá khứ
  • Việc bán dữ liệu liên quan đến địa điểm nhạy cảm như phòng khám sức khỏe và nơi thờ tự cũng bị cấm, dù vẫn còn ngoại lệ hạn chế liên quan đến an ninh quốc gia hoặc thực thi pháp luật
  • 404 Media đã kiểm chứng dữ liệu Gravy bị hack theo nhiều cách
    • Một số tệp chứa thông tin xác thực cho phiên bản Gravy của công cụ kho dữ liệu Snowflake
    • Họ kiểm tra xem URL trong các tệp bị hack có khớp với phiên bản Snowflake thực tế hay không
    • Tệp users có chứa danh sách công ty, và một số công ty phủ nhận có quan hệ với Gravy
  • Cuebiq cho biết họ thường xuyên đánh giá dữ liệu thị trường, nhưng trường hợp này chỉ là thử nghiệm trên mẫu dữ liệu hạn chế, không được cung cấp cho khách hàng và đã bị xóa sau khi kết thúc thử nghiệm
  • Datonics cho biết segment ID trong tệp không phải của Datonics mà là của Gravy
  • Unacast, công ty sáp nhập với Gravy vào năm 2023, đã không phản hồi nhiều yêu cầu bình luận về vụ hack và việc dữ liệu vị trí có được suy ra từ RTB hay không

1 bình luận

 
GN⁺ 2025-01-11
Ý kiến trên Hacker News
  • Mỗi khi bạn thấy một quảng cáo banner nhỏ ở cuối ứng dụng, một phiên đấu giá tức thời sẽ diễn ra cho vị trí quảng cáo đó
    Khi Google chuyển thông tin cho các bên đặt giá, họ sẽ tính toán xem sẵn sàng trả bao nhiêu để hiển thị quảng cáo đó
    Tức là ngay cả bên thua trong phiên đấu giá cũng nhận được thác dữ liệu, và ngay từ đầu đã tồn tại những công ty tham gia đấu giá với mục đích thu thập dữ liệu trong khi thua đấu giá
    Vì vậy cũng không có gì đáng ngạc nhiên khi In-Q-Tel, bộ phận đầu tư không bí mật của CIA, đã đầu tư vào các công ty phân tích kiểu này, tức các công ty giám sát kỹ thuật số

    • Liên kết này nói rõ rằng họ nhận được dữ liệu dù không thắng đấu giá
      https://www.ftc.gov/news-events/news/press-releases/2024/12/...
      Đây là nội dung đơn khiếu nại của FTC rằng khi Mobilewalla đặt giá cho vị trí quảng cáo của khách hàng trên các sàn giao dịch đấu thầu quảng cáo thời gian thực, họ đã thu thập và lưu giữ thông tin trong yêu cầu đặt giá một cách không chính đáng, dù không trúng thầu
      Từ tháng 1/2018 đến tháng 6/2020, công ty đã thu thập hơn 500 triệu mã định danh quảng cáo người tiêu dùng duy nhất kèm dữ liệu vị trí chính xác; dữ liệu vị trí thô không được ẩn danh và cũng không có chính sách loại bỏ các vị trí nhạy cảm, nên có thể xác định thiết bị cá nhân và các địa điểm đã ghé thăm
      Theo đó, họ đã bán quyền truy cập vào dữ liệu thô này cho các bên thứ ba như nhà quảng cáo, data broker và công ty phân tích
    • Không phải khách hàng quảng cáo nhìn thấy dữ liệu, mà là một số ít sàn giao dịch nhìn thấy
      Nếu tham gia header bidding, bạn sẽ nhận được dữ liệu tương tự như những gì có thể thấy khi vận hành một website di động phổ biến
      Việc In-Q-Tel đầu tư vào một mô hình kinh doanh chênh lệch giá tốt như sàn giao dịch không có gì đáng ngạc nhiên; đó chỉ là các nhà đầu tư giỏi thực hiện các khoản đầu tư tốt, chứ không có vẻ là một chiến lược giám sát đầy hoài nghi
    • “Những công ty có mục đích là thua đấu giá nhưng thu thập dữ liệu” là hành vi vi phạm điều khoản của Google
      Nhưng Google không thực thi điều này, vì đây là cách bán dữ liệu người dùng mà không bán dữ liệu người dùng một cách công khai
    • Tôi tò mò không biết có thể đăng ký nhận thác dữ liệu như vậy ở đâu
      Một cách ngây thơ, tôi từng nghĩ Google xử lý các lượt đặt giá như vậy nội bộ
    • Tôi thắc mắc liệu chuyện này có hợp pháp ở châu Âu không, và có phải là thông lệ phổ biến không
  • Phần bài viết không đề cập là vị trí được thu thập như thế nào
    Gọi định vị địa lý theo IP là thu thập dữ liệu vị trí thì hơi gượng, vì nó thường không chính xác bằng việc lấy vị trí địa lý trực tiếp, nên cũng không cần phải nhận từ broker
    Nhưng trên Android, cả ACCESS_COARSE_LOCATION lẫn ACCESS_FINE_LOCATION đều cần hộp thoại xin quyền, nên tôi tò mò chính xác cơ chế này hoạt động ra sao

    • Ít nhất một phần, thậm chí có thể là phần lớn, dường như được suy ra từ địa chỉ IP dùng trong quá trình đấu thầu quảng cáo
      Có đoạn nói rằng: “Phần đáng kể của bộ dữ liệu vị trí địa lý này có vẻ được suy luận bằng cách tra cứu địa chỉ IP sang vị trí địa lý. Nghĩa là nhà cung cấp hoặc nguồn của họ xác định địa chỉ IP của người dùng, chứ không phải dữ liệu GNSS/GPS, để suy ra vị trí địa lý. Điều này cho thấy dữ liệu không hoàn toàn đến từ SDK dữ liệu vị trí”
    • Khó có thể xem là phóng đại khi chỉ trích việc theo dõi mọi IP mà trò chơi sử dụng rồi cố gắng theo dõi vị trí bằng cách đó
      Trò chơi không nên cố theo dõi vị trí của tôi dưới bất kỳ hình thức nào, và không nên được miễn trách nhiệm chỉ vì về mặt kỹ thuật độ chính xác thấp
    • Các vị trí quảng cáo như vậy sử dụng GMS Services, ứng dụng hệ thống mặc định của Google Android, và ứng dụng này có gần như mọi quyền truy cập trên thiết bị, bao gồm cả vị trí
      https://developers.google.com/android/reference/com/google/a...
    • Tinder là dịch vụ dựa trên vị trí, nên khả năng cao dữ liệu được thu thập qua kênh đó
      Các ứng dụng khác thì tôi không rõ
  • comm -12 <(cat gravy_app_list\ -\ count.csv| uvx --from csvkit csvcut -c 2 | rg '\.' | sort) <(adb shell pm list packages -3 | cut -f 2 -d ":" | sort)
    Có thể tải CSV từ https://docs.google.com/spreadsheets/d/1Ukgd0gIWd9gpV6bOx2pc... rồi kiểm tra xem có mục nào khớp trong các ứng dụng trên điện thoại không
    Nhìn danh sách của tôi thì có hai điều tôi thắc mắc: ứng dụng thay thế PodcastAddict nào là tốt, liệu bản trả phí có dừng toàn bộ lưu lượng quảng cáo chứ không chỉ ẩn quảng cáo trên màn hình hay không, và ngay từ đầu MS Outlook đã lọt vào danh sách này bằng cách nào

    • AntennaPod
    • Danh sách này đáng ngờ
      PodcastAddict thậm chí còn không yêu cầu quyền vị trí[1]
      Vậy làm sao nó có thể truy cập vị trí được? Nếu đọc kỹ bài viết, họ cũng gợi ý rằng vị trí có thể không đến từ ứng dụng của Gravy
      Cùng lắm thì chỉ lấy được vị trí theo IP, mà đó dù sao cũng là thông tin được gửi cho mọi website bạn truy cập
      Có đoạn nói rằng “bộ dữ liệu này dường như đến từ vụ hack Gravy, nhưng không rõ Gravy có trực tiếp thu thập dữ liệu vị trí này hay không, lấy từ công ty khác hay không, và công ty dữ liệu vị trí nào rốt cuộc sở hữu hoặc được cấp phép sử dụng nó”
      [1] https://play.google.com/store/apps/details?id=com.bambuna.po...
    • Tôi đã hỏi nhà phát triển Podcast Addict kèm theo bài viết, và câu trả lời nguyên văn là như sau
      “Xin chào, tôi không hiểu email này nói về điều gì. Tất nhiên mọi ứng dụng podcast đều kết nối tới nội dung của bên thứ ba để streaming, nên các nền tảng hosting, dịch vụ theo dõi và dịch vụ quảng cáo mà podcaster dùng có thể truy cập địa chỉ IP của người dùng.
      Nói một ứng dụng podcast làm rò rỉ địa chỉ IP cũng ngớ ngẩn như nói trình duyệt web làm vậy. Nó chỉ là một công cụ kết nối tới nội dung của bên thứ ba, và trừ khi bạn dùng VPN, máy chủ mà bạn kết nối tới luôn có thể truy cập địa chỉ IP.
      Ứng dụng không có vị trí của người dùng. Như bạn thấy, ứng dụng không yêu cầu quyền vị trí nên không có thông tin vị trí nào để chia sẻ. Tuy nhiên IP tất nhiên sẽ được công khai với bất kỳ máy chủ nào mà ứng dụng kết nối tới.
      Xavier”
    • Chặn máy chủ quảng cáo ở cấp DNS thì dễ hơn
      Vì có thể cấu hình được nên tôi đang dùng NextDNS [1], và DNS của AdGuard [2] có lẽ cũng hoạt động tốt
      1. https://nextdns.io/
      2. https://adguard-dns.io/en/welcome.html
    • Cách giảm phụ thuộc là grep -f gravy_app_list\ -\ count.csv <(adb shell pm list packages -3 | cut -d":" -f2)
  • Quảng cáo là một loại virus lây nhiễm toàn bộ hệ sinh thái

    • Về virus vẫn còn nhiều bí ẩn chưa được giải đáp, chúng có thể quan trọng với hệ sinh thái đang vận hành hơn ta nghĩ, và cũng có những mánh hữu ích mà chỉ virus mới làm được
      Cái này giống nhiễm độc chì hơn
    • Quảng cáo gần giống một vật trung gian truyền phát lý tưởng để lan truyền những thứ độc hại
      Bản chất nó không nhất thiết sai, nhưng những kẻ làm việc xấu lại quá thích nó
  • Bài liên quan: FTC đã có động thái với Gravy Analytics và Venntel vì bán dữ liệu vị trí, 194 điểm · 158 bình luận
    https://news.ycombinator.com/item?id=42309429

  • https://web.archive.org/web/20250109211053/https://www.wired...
    https://archive.ph/Danyk

  • Tôi đang hiểu rằng các ứng dụng này có thể né quyền của hệ điều hành về việc có cho phép dữ liệu vị trí hay không, không biết như vậy có đúng không

    • Tôi tự hỏi liệu trên iOS các ứng dụng có đang lạm dụng Background App Refresh hay không
      Theo tôi hiểu thì không khó để tạo một tác vụ nền định kỳ gửi yêu cầu mạng
      Tác vụ nền chỉ cần gửi một yêu cầu HTTP có kèm một định danh duy nhất nào đó đến máy chủ mạng quảng cáo, rồi máy chủ xử lý định vị địa lý theo IP là được
      Trên nhiều mạng di động độ chính xác sẽ không cao, nhưng một số ISP phân chia IP chi tiết đến mức khu phố, nên trên Wi‑Fi có thể khá chi tiết
      Vì dự đoán khả năng này, tôi đã tắt Background App Refresh cho gần như mọi ứng dụng và không thấy trải nghiệm ứng dụng bị giảm sút
      Tôi dùng 1Blocker, vốn tạo một VPN giả lập ngay trên thiết bị để chặn các yêu cầu IP của trình theo dõi trên iOS, và thấy rằng khi tắt Background App Refresh thì số yêu cầu bị chặn giảm mạnh
      Một phần là các chẩn đoán vô hại như Sentry, nhưng phần lớn thì không phải vậy
      Mong ai quen phát triển iOS giải thích liệu điều này có thực sự khả thi khi xét đến các giới hạn thực thi của tác vụ nền hay không
    • Nội dung là: “Có vẻ một phần đáng kể của bộ dữ liệu định vị địa lý này được suy luận bằng cách tra cứu địa chỉ IP thành vị trí địa lý. Tức là nhà cung cấp hoặc nguồn của họ không dùng dữ liệu GNSS/GPS, mà xác định địa chỉ IP của người dùng để suy ra vị trí địa lý. Điều này cho thấy dữ liệu không hoàn toàn đến từ SDK dữ liệu vị trí”
      Có lẽ nếu quyền được bật thì họ dùng vị trí, còn nếu không thì nhiều khả năng thay thế bằng định vị địa lý theo IP
      Đấu giá thời gian thực là cơn ác mộng về quyền riêng tư; nó phát tán hành vi của người dùng theo thời gian thực cho mọi nhà cung cấp quảng cáo, rồi dựa vào lời hứa kiểu “móc ngoéo” rằng họ sẽ không lạm dụng
    • Không phải
      Ở những nơi có dữ liệu vị trí chính xác, tức là người dùng đã cấp quyền
      Tôi không biết vì sao Candy Crush lại cần yêu cầu vị trí chính xác, nhưng tôi khá chắc CC không yêu cầu quyền như vậy
  • Cá nhân tôi đang chờ Tinder bị chính phủ giáng búa
    Quyền lực độc quyền mà họ có sau khi gom nhiều ứng dụng hẹn hò lại với nhau thật sự vô lý
    Mọi người đều phàn nàn về các ngoại tác xã hội do sự trỗi dậy của Internet tạo ra, nhưng về dài hạn, khó có thể nói có nhiều biến số quan trọng hơn thế này đối với thành công của một quốc gia

    • Tôi tò mò chính xác Tinder có vấn đề gì
      Chưa từng dùng, nhưng đại khái tôi nghĩ nó như Facebook dành cho tình dục
      Nó còn tệ hơn các dịch vụ của Meta sao?