- Archivos hackeados de Gravy Analytics revelaron los nombres de miles de apps y datos de ubicación, lo que aumenta la probabilidad de que apps populares hayan sido usadas para recolectar ubicaciones sensibles a través del ecosistema publicitario, no mediante SDK de desarrolladores
- La ruta clave señalada es el RTB bid stream, las pujas publicitarias en tiempo real, donde empresas conectadas pueden recolectar la ubicación del dispositivo y la ubicación basada en IP incluso sin publicar anuncios realmente
- La lista incluye Candy Crush, Tinder, Grindr, MyFitnessPal, Flightradar24, Tumblr, Microsoft 365 y Yahoo Mail, además de apps de embarazo y seguimiento menstrual, apps religiosas y apps de VPN
- Gravy vendía datos de ubicación a clientes comerciales y también los proporcionaba a agencias del gobierno de EE. UU. a través de su subsidiaria Venntel; los datos de Venntel también se han usado en herramientas de vigilancia compradas por gobiernos, como Locate X
- Aunque los desarrolladores de apps no incorporen directamente código de recolección de ubicación, los datos pueden filtrarse durante el proceso de pujas publicitarias, por lo que el foco de la protección al usuario se amplía desde la app en sí hacia la cadena de suministro de tecnología publicitaria
Los archivos hackeados de Gravy revelan la cadena de suministro de datos de ubicación
- Los archivos hackeados incluían miles de apps de Android e iOS, y algunos archivos registraban el nombre de la app junto a cada dato de ubicación
- Los datos contienen decenas de millones de coordenadas de dispositivos móviles en Estados Unidos, Rusia y Europa
- Como la ruta de recolección parece ser el ecosistema publicitario y no código incorporado por los creadores de las apps, es posible que ni los usuarios ni los desarrolladores supieran de esa recolección
- Algunos datos de ubicación no tienen marca de tiempo, pero la lista incluye Call of Duty: Mobile Season 5, lanzado en mayo de 2024, lo que deja una pista de que son datos de 2024
- No está claro si Gravy recopiló los datos directamente, si los obtuvo de otra empresa, ni qué empresa de datos de ubicación los poseía o licenció finalmente
Apps incluidas y lista pública
- 404 Media extrajo nombres de apps de los archivos hackeados, creó una lista y publicó la lista completa en Google Sheets
- La lista de apps abarca varias categorías, como juegos, citas, salud, transporte, trabajo, religión y VPN
- Juegos: Candy Crush, Temple Run, Subway Surfers, Harry Potter: Puzzles & Spells
- Apps de citas: Tinder, Grindr
- Apps de salud y estilo de vida: MyFitnessPal, My Period Calendar & Tracker
- Apps de transporte y aviación: Moovit, Flightradar24
- Apps sociales y de trabajo: Tumblr, Yahoo Mail, Microsoft 365
- Apps de categorías sensibles: apps de seguimiento de embarazo, apps musulmanas de oración, apps cristianas de la Biblia y varias apps de VPN
- Se incluyeron apps tanto de Android como de iOS, y se mantuvieron duplicados con nombres ligeramente distintos para que a los usuarios les resulte más fácil buscar las apps instaladas
- Varios investigadores de seguridad también publicaron por separado listas de apps de distintos tamaños
Por qué se señala a RTB como la ruta clave
- Zach Edwards, de Silent Push, evaluó que los datos de Gravy parecen ser evidencia pública de que se obtuvieron del flujo de pujas de publicidad en línea, no de código integrado en las apps
- En el pasado, las empresas de datos de ubicación pagaban a desarrolladores para que incorporaran paquetes de código de recolección de ubicación en sus apps, pero ahora también se usa un método que obtiene información de ubicación durante el proceso de pujas de anuncios dentro de la app
- En las pujas en tiempo real, las empresas ofertan para comprar espacios publicitarios dentro de las apps, y los brokers de datos pueden observar ese proceso y recolectar la ubicación de dispositivos móviles
- Las empresas de vigilancia pueden adquirir compañías de tecnología publicitaria o actuar como posibles anunciantes para acceder a datos de RTB
- No necesitan ganar realmente la puja ni mostrar el anuncio
- Con solo conectarse a la industria publicitaria, pueden recolectar datos de dispositivos
- En este caso, los datos de ubicación pueden incluir la dirección IP del usuario, y al convertir la IP en geolocalización se puede obtener una ubicación aproximada
Indicios técnicos observados por investigadores
- Krzysztof Franaszek, fundador de Adalytics, evaluó que parte de los datos probablemente se obtuvo de RTB relacionado con publicidad
- En el user-agent de algunos archivos aparecía la cadena
afma-sdk, que es una cadena usada por Google Mobile Ads SDK - Este indicio muestra que, en algunos casos, la plataforma publicitaria de Google entregó anuncios y que ese flujo publicitario pudo haber derivado en rastreo por parte de empresas externas o posibles contratistas gubernamentales
- Franaszek considera que una parte considerable de los datos se infirió mediante búsquedas de geolocalización basadas en direcciones IP, no mediante GNSS/GPS
- Edwards juzgó que la gran diversidad de tipos de apps se parece más al patrón observado en la recolección masiva vía RTB que a la recolección basada en SDK
- Google y Apple no respondieron a múltiples solicitudes de comentario
La conexión entre Gravy, Venntel y herramientas de vigilancia gubernamental
- Gravy es una empresa que reúne datos de ubicación móvil de varias fuentes y los vende a compañías comerciales
- A través de su subsidiaria Venntel, también ha vendido datos de ubicación a agencias del gobierno de EE. UU.
- Entre los clientes de Venntel han figurado Immigration and Customs Enforcement, Customs and Border Protection, IRS, FBI y Drug Enforcement Administration
- Venntel proporciona datos base a Locate X, una herramienta de vigilancia comprada por gobiernos y perteneciente a Babel Street
- 404 Media y otros medios demostraron el año anterior que Locate X podría usarse para monitorear a visitantes de clínicas de aborto fuera de su estado
Respuestas de las empresas de apps
- Flightradar24 respondió que nunca había oído hablar de Gravy, pero que muestra anuncios y que la publicidad ayuda a mantener gratuito a Flightradar24
- Tinder respondió que no tiene relación con Gravy Analytics y que no hay evidencia de que esos datos se hayan obtenido desde la app de Tinder, pero no respondió preguntas sobre la publicidad dentro de la app
- Muslim Pro respondió que no conoce a Gravy y que muestra anuncios a través de varias redes publicitarias para sostener la versión gratuita, pero que no autoriza a esas redes a recolectar datos de ubicación de los usuarios
- Grindr respondió que nunca trabajó con Gravy Analytics ni le proporcionó datos, que no comparte datos con agregadores o brokers de datos y que durante varios años no ha compartido información de ubicación con socios publicitarios
- La mayoría de los desarrolladores de apps y empresas no respondieron a las solicitudes de comentario
Regulación y verificación de datos
- En diciembre de 2024, la FTC prohibió a Mobilewalla recolectar datos de consumidores en subastas de publicidad en línea y usarlos para fines distintos a participar en esas subastas
- La FTC afirmó que Venntel y Gravy recolectaron datos sin consentimiento de los usuarios y ordenó eliminar datos de ubicación históricos
- También se prohibió la venta de datos relacionados con lugares sensibles, como clínicas de salud y lugares de culto, aunque se mantienen excepciones limitadas relacionadas con seguridad nacional o aplicación de la ley
- 404 Media verificó los datos hackeados de Gravy de varias maneras
- Algunos archivos incluían credenciales de la instancia de Gravy en Snowflake, una herramienta de almacenamiento de datos
- Confirmó que las URL de los archivos hackeados correspondían a instancias reales de Snowflake
- El archivo
userscontenía una lista de empresas, y algunas de ellas negaron tener relación con Gravy
- Cuebiq respondió que realiza evaluaciones de datos de mercado de forma periódica, pero que este caso fue una prueba con una muestra limitada de datos, que no se entregó a clientes y que se eliminó al terminar la prueba
- Datonics respondió que los segment ID en el archivo no eran de Datonics, sino de Gravy
- Unacast, que se fusionó con Gravy en 2023, no respondió a múltiples solicitudes de comentario sobre el hackeo ni sobre si derivó datos de ubicación basados en RTB
1 comentarios
Opiniones de Hacker News
Cada vez que aparece un pequeño banner publicitario en la parte inferior de una app, se realiza una subasta instantánea por ese espacio publicitario.
Cuando Google pasa información a los postores, ellos calculan cuánto pagarían por mostrar ese anuncio.
Es decir, incluso quienes pierden la subasta reciben la cascada de datos, y existen empresas cuyo propósito desde el inicio es perder la subasta para recopilar datos.
Así que no sorprende que In-Q-Tel, el brazo de inversión no encubierto de la CIA, haya invertido en este tipo de análisis, es decir, en empresas de vigilancia digital.
https://www.ftc.gov/news-events/news/press-releases/2024/12/...
Se trata de una denuncia de la FTC que afirma que, cuando Mobilewalla pujaba por el espacio publicitario de clientes en bolsas de pujas publicitarias en tiempo real, recopilaba y conservaba indebidamente la información de las solicitudes de puja aunque no ganara.
Entre enero de 2018 y junio de 2020 recopiló más de 500 millones de identificadores publicitarios únicos de consumidores junto con datos de ubicación precisos; los datos de ubicación en bruto no estaban anonimizados y no había una política para eliminar ubicaciones sensibles, por lo que se podían identificar dispositivos individuales y lugares visitados.
Según se afirma, vendió el acceso a estos datos en bruto a terceros, como anunciantes, brokers de datos y empresas de análisis.
Si participas en header bidding, obtienes datos similares a los que podrías ver al operar un sitio web móvil popular.
No sorprende que In-Q-Tel invierta en un buen negocio de arbitraje como una bolsa; son buenos inversionistas haciendo buenas inversiones, no parece una estrategia cínica de vigilancia.
Pero Google no lo controla, porque es una forma de vender datos de usuarios sin vender explícitamente datos de usuarios.
Ingenuamente pensaba que Google gestionaba estas pujas internamente.
Lo que el artículo no aborda es cómo se recopila la ubicación.
Llamar recopilación de datos de ubicación a la geolocalización por IP es un poco exagerado, porque normalmente no es tan precisa como obtener la geolocalización directa, así que no hace falta obtenerla de un broker.
Pero en Android, tanto ACCESS_COARSE_LOCATION como ACCESS_FINE_LOCATION requieren un diálogo de permisos, así que me pregunto exactamente cómo funciona.
Hay una parte que dice: “Una porción significativa de este conjunto de datos de geolocalización parece haberse inferido mediante búsquedas de geolocalización de direcciones IP. Es decir, el proveedor o su fuente determina la geolocalización consultando la dirección IP del usuario, no mediante datos GNSS/GPS. Esto sugiere que los datos no provienen exclusivamente de SDK de datos de ubicación”.
Un juego no debería intentar rastrear mi ubicación en absoluto, y no debería quedar exento solo porque técnicamente la precisión sea baja.
https://developers.google.com/android/reference/com/google/a...
De las demás apps no estoy seguro.
comm -12 <(cat gravy_app_list\ -\ count.csv| uvx --from csvkit csvcut -c 2 | rg '\.' | sort) <(adb shell pm list packages -3 | cut -f 2 -d ":" | sort)El CSV se puede descargar desde https://docs.google.com/spreadsheets/d/1Ukgd0gIWd9gpV6bOx2pc... y verificar si hay coincidencias entre las apps del teléfono
Al ver mi lista, me surgen dos dudas: cuál sería una buena app alternativa a PodcastAddict, si en la versión paga se detiene todo el tráfico publicitario y no solo la visualización de anuncios en pantalla, y cómo entró MS Outlook en esta lista en primer lugar
PodcastAddict ni siquiera solicita permiso de ubicación[1]
Entonces, ¿cómo podría acceder a la ubicación? Si se lee el artículo con atención, deja abierta la posibilidad de que la ubicación quizá no haya salido de las apps de Gravy
En el mejor de los casos, obtendría ubicación por IP, y esa es información que de todos modos se envía a cualquier sitio web que uno visita
Dice: “Este conjunto de datos parece provenir del hackeo de Gravy, pero no está claro si Gravy recopiló directamente estos datos de ubicación, si los obtuvo de otra empresa, ni qué compañía de datos de ubicación los poseía o tenía licencia para usarlos en última instancia”
[1] https://play.google.com/store/apps/details?id=com.bambuna.po...
“Hola, no entiendo de qué trata este correo. Por supuesto, todas las apps de podcasts se conectan a contenido de terceros para hacer streaming, por lo que las plataformas de hosting, los servicios de seguimiento y los servicios de publicidad que usan los podcasters pueden acceder a la dirección IP del usuario.
Decir que una app de podcasts filtra la dirección IP es tan absurdo como decir que lo hace un navegador web. Es solo una herramienta para conectarse a contenido de terceros y, a menos que uses una VPN, el servidor al que te conectes siempre podrá acceder a tu dirección IP.
La app no tiene la ubicación del usuario. Como pueden ver, no solicita permiso de ubicación, así que la app no tiene información de ubicación que compartir. Pero, naturalmente, la IP se revela a cualquier servidor al que se conecte.
Xavier”
Se puede configurar, así que uso NextDNS [1], y el DNS de AdGuard [2] probablemente también funcione bien
grep -f gravy_app_list\ -\ count.csv <(adb shell pm list packages -3 | cut -d":" -f2)La publicidad es un virus que infecta todos los ecosistemas
Esto se parece más bien al envenenamiento por plomo
No hay nada intrínsecamente malo, pero a la gente que hace cosas malas le encanta
Artículo relacionado: La FTC tomó medidas contra Gravy Analytics y Venntel por vender datos de ubicación, 194 puntos y 158 comentarios
https://news.ycombinator.com/item?id=42309429
https://web.archive.org/web/20250109211053/https://www.wired...
https://archive.ph/Danyk
https://docs.google.com/spreadsheets/d/1Ukgd0gIWd9gpV6bOx2pc...
https://gist.github.com/fs0c131y/f498b21cba9ee23956fc7d76292...
Me pregunto si es correcto entenderlo como que estas apps pueden eludir los permisos del sistema operativo sobre si se permite el acceso a datos de ubicación
Según entiendo, no es difícil crear una tarea en segundo plano que envíe solicitudes de red periódicamente
Bastaría con que una tarea en segundo plano envíe una solicitud HTTP a un servidor de una red publicitaria incluyendo algún identificador único, y que el servidor procese la geolocalización por IP
En muchas redes móviles la precisión no sería alta, pero algunos ISP tienen IP segmentadas hasta el nivel de colonia/barrio, así que con Wi‑Fi podría volverse bastante granular
Previendo esta posibilidad, desactivé la actualización de apps en segundo plano para casi todas las apps y no noté que empeorara la experiencia de uso
Al usar 1Blocker, que crea una VPN ficticia en el dispositivo para bloquear solicitudes IP de rastreadores en iOS, vi que al desactivar la actualización de apps en segundo plano el número de solicitudes bloqueadas cayó mucho
Algunas eran diagnósticos inofensivos como Sentry, pero la mayoría no lo eran
Me gustaría que alguien familiarizado con el desarrollo en iOS explicara si esto es realmente posible, considerando las restricciones de ejecución de las tareas en segundo plano
Probablemente, si el permiso está activado usan la ubicación, y si no, es muy posible que lo sustituyan por geolocalización por IP
Las subastas en tiempo real son una pesadilla para la privacidad: difunden el comportamiento del usuario en tiempo real a todos los proveedores de anuncios y se apoyan en una promesa de meñique de “no vamos a abusar de esto”
Donde hay datos de ubicación precisa, es porque el usuario concedió el permiso
No sé por qué Candy Crush tendría que pedir ubicación precisa, pero estoy bastante seguro de que CC no solicita ese permiso
Personalmente estoy esperando que el gobierno le caiga con todo a Tinder
El poder monopólico que tiene después de combinar varias apps de citas es realmente absurdo
Todos se quejan de las externalidades sociales que trajo el auge de internet, pero es difícil negar que, a largo plazo, hay pocas variables más importantes para el éxito de un país que esta
Nunca lo he usado, pero lo imagino más o menos como un Facebook para sexo
¿Es peor que los servicios de Meta?