2 puntos por GN⁺ 2025-01-11 | 1 comentarios | Compartir por WhatsApp
  • Archivos hackeados de Gravy Analytics revelaron los nombres de miles de apps y datos de ubicación, lo que aumenta la probabilidad de que apps populares hayan sido usadas para recolectar ubicaciones sensibles a través del ecosistema publicitario, no mediante SDK de desarrolladores
  • La ruta clave señalada es el RTB bid stream, las pujas publicitarias en tiempo real, donde empresas conectadas pueden recolectar la ubicación del dispositivo y la ubicación basada en IP incluso sin publicar anuncios realmente
  • La lista incluye Candy Crush, Tinder, Grindr, MyFitnessPal, Flightradar24, Tumblr, Microsoft 365 y Yahoo Mail, además de apps de embarazo y seguimiento menstrual, apps religiosas y apps de VPN
  • Gravy vendía datos de ubicación a clientes comerciales y también los proporcionaba a agencias del gobierno de EE. UU. a través de su subsidiaria Venntel; los datos de Venntel también se han usado en herramientas de vigilancia compradas por gobiernos, como Locate X
  • Aunque los desarrolladores de apps no incorporen directamente código de recolección de ubicación, los datos pueden filtrarse durante el proceso de pujas publicitarias, por lo que el foco de la protección al usuario se amplía desde la app en sí hacia la cadena de suministro de tecnología publicitaria

Los archivos hackeados de Gravy revelan la cadena de suministro de datos de ubicación

  • Los archivos hackeados incluían miles de apps de Android e iOS, y algunos archivos registraban el nombre de la app junto a cada dato de ubicación
  • Los datos contienen decenas de millones de coordenadas de dispositivos móviles en Estados Unidos, Rusia y Europa
  • Como la ruta de recolección parece ser el ecosistema publicitario y no código incorporado por los creadores de las apps, es posible que ni los usuarios ni los desarrolladores supieran de esa recolección
  • Algunos datos de ubicación no tienen marca de tiempo, pero la lista incluye Call of Duty: Mobile Season 5, lanzado en mayo de 2024, lo que deja una pista de que son datos de 2024
  • No está claro si Gravy recopiló los datos directamente, si los obtuvo de otra empresa, ni qué empresa de datos de ubicación los poseía o licenció finalmente

Apps incluidas y lista pública

  • 404 Media extrajo nombres de apps de los archivos hackeados, creó una lista y publicó la lista completa en Google Sheets
  • La lista de apps abarca varias categorías, como juegos, citas, salud, transporte, trabajo, religión y VPN
    • Juegos: Candy Crush, Temple Run, Subway Surfers, Harry Potter: Puzzles & Spells
    • Apps de citas: Tinder, Grindr
    • Apps de salud y estilo de vida: MyFitnessPal, My Period Calendar & Tracker
    • Apps de transporte y aviación: Moovit, Flightradar24
    • Apps sociales y de trabajo: Tumblr, Yahoo Mail, Microsoft 365
    • Apps de categorías sensibles: apps de seguimiento de embarazo, apps musulmanas de oración, apps cristianas de la Biblia y varias apps de VPN
  • Se incluyeron apps tanto de Android como de iOS, y se mantuvieron duplicados con nombres ligeramente distintos para que a los usuarios les resulte más fácil buscar las apps instaladas
  • Varios investigadores de seguridad también publicaron por separado listas de apps de distintos tamaños

Por qué se señala a RTB como la ruta clave

  • Zach Edwards, de Silent Push, evaluó que los datos de Gravy parecen ser evidencia pública de que se obtuvieron del flujo de pujas de publicidad en línea, no de código integrado en las apps
  • En el pasado, las empresas de datos de ubicación pagaban a desarrolladores para que incorporaran paquetes de código de recolección de ubicación en sus apps, pero ahora también se usa un método que obtiene información de ubicación durante el proceso de pujas de anuncios dentro de la app
  • En las pujas en tiempo real, las empresas ofertan para comprar espacios publicitarios dentro de las apps, y los brokers de datos pueden observar ese proceso y recolectar la ubicación de dispositivos móviles
  • Las empresas de vigilancia pueden adquirir compañías de tecnología publicitaria o actuar como posibles anunciantes para acceder a datos de RTB
    • No necesitan ganar realmente la puja ni mostrar el anuncio
    • Con solo conectarse a la industria publicitaria, pueden recolectar datos de dispositivos
  • En este caso, los datos de ubicación pueden incluir la dirección IP del usuario, y al convertir la IP en geolocalización se puede obtener una ubicación aproximada

Indicios técnicos observados por investigadores

  • Krzysztof Franaszek, fundador de Adalytics, evaluó que parte de los datos probablemente se obtuvo de RTB relacionado con publicidad
  • En el user-agent de algunos archivos aparecía la cadena afma-sdk, que es una cadena usada por Google Mobile Ads SDK
  • Este indicio muestra que, en algunos casos, la plataforma publicitaria de Google entregó anuncios y que ese flujo publicitario pudo haber derivado en rastreo por parte de empresas externas o posibles contratistas gubernamentales
  • Franaszek considera que una parte considerable de los datos se infirió mediante búsquedas de geolocalización basadas en direcciones IP, no mediante GNSS/GPS
  • Edwards juzgó que la gran diversidad de tipos de apps se parece más al patrón observado en la recolección masiva vía RTB que a la recolección basada en SDK
  • Google y Apple no respondieron a múltiples solicitudes de comentario

La conexión entre Gravy, Venntel y herramientas de vigilancia gubernamental

  • Gravy es una empresa que reúne datos de ubicación móvil de varias fuentes y los vende a compañías comerciales
  • A través de su subsidiaria Venntel, también ha vendido datos de ubicación a agencias del gobierno de EE. UU.
  • Entre los clientes de Venntel han figurado Immigration and Customs Enforcement, Customs and Border Protection, IRS, FBI y Drug Enforcement Administration
  • Venntel proporciona datos base a Locate X, una herramienta de vigilancia comprada por gobiernos y perteneciente a Babel Street
  • 404 Media y otros medios demostraron el año anterior que Locate X podría usarse para monitorear a visitantes de clínicas de aborto fuera de su estado

Respuestas de las empresas de apps

  • Flightradar24 respondió que nunca había oído hablar de Gravy, pero que muestra anuncios y que la publicidad ayuda a mantener gratuito a Flightradar24
  • Tinder respondió que no tiene relación con Gravy Analytics y que no hay evidencia de que esos datos se hayan obtenido desde la app de Tinder, pero no respondió preguntas sobre la publicidad dentro de la app
  • Muslim Pro respondió que no conoce a Gravy y que muestra anuncios a través de varias redes publicitarias para sostener la versión gratuita, pero que no autoriza a esas redes a recolectar datos de ubicación de los usuarios
  • Grindr respondió que nunca trabajó con Gravy Analytics ni le proporcionó datos, que no comparte datos con agregadores o brokers de datos y que durante varios años no ha compartido información de ubicación con socios publicitarios
  • La mayoría de los desarrolladores de apps y empresas no respondieron a las solicitudes de comentario

Regulación y verificación de datos

  • En diciembre de 2024, la FTC prohibió a Mobilewalla recolectar datos de consumidores en subastas de publicidad en línea y usarlos para fines distintos a participar en esas subastas
  • La FTC afirmó que Venntel y Gravy recolectaron datos sin consentimiento de los usuarios y ordenó eliminar datos de ubicación históricos
  • También se prohibió la venta de datos relacionados con lugares sensibles, como clínicas de salud y lugares de culto, aunque se mantienen excepciones limitadas relacionadas con seguridad nacional o aplicación de la ley
  • 404 Media verificó los datos hackeados de Gravy de varias maneras
    • Algunos archivos incluían credenciales de la instancia de Gravy en Snowflake, una herramienta de almacenamiento de datos
    • Confirmó que las URL de los archivos hackeados correspondían a instancias reales de Snowflake
    • El archivo users contenía una lista de empresas, y algunas de ellas negaron tener relación con Gravy
  • Cuebiq respondió que realiza evaluaciones de datos de mercado de forma periódica, pero que este caso fue una prueba con una muestra limitada de datos, que no se entregó a clientes y que se eliminó al terminar la prueba
  • Datonics respondió que los segment ID en el archivo no eran de Datonics, sino de Gravy
  • Unacast, que se fusionó con Gravy en 2023, no respondió a múltiples solicitudes de comentario sobre el hackeo ni sobre si derivó datos de ubicación basados en RTB

1 comentarios

 
GN⁺ 2025-01-11
Opiniones de Hacker News
  • Cada vez que aparece un pequeño banner publicitario en la parte inferior de una app, se realiza una subasta instantánea por ese espacio publicitario.
    Cuando Google pasa información a los postores, ellos calculan cuánto pagarían por mostrar ese anuncio.
    Es decir, incluso quienes pierden la subasta reciben la cascada de datos, y existen empresas cuyo propósito desde el inicio es perder la subasta para recopilar datos.
    Así que no sorprende que In-Q-Tel, el brazo de inversión no encubierto de la CIA, haya invertido en este tipo de análisis, es decir, en empresas de vigilancia digital.

    • Este enlace dice claramente que se reciben datos incluso sin ganar la subasta.
      https://www.ftc.gov/news-events/news/press-releases/2024/12/...
      Se trata de una denuncia de la FTC que afirma que, cuando Mobilewalla pujaba por el espacio publicitario de clientes en bolsas de pujas publicitarias en tiempo real, recopilaba y conservaba indebidamente la información de las solicitudes de puja aunque no ganara.
      Entre enero de 2018 y junio de 2020 recopiló más de 500 millones de identificadores publicitarios únicos de consumidores junto con datos de ubicación precisos; los datos de ubicación en bruto no estaban anonimizados y no había una política para eliminar ubicaciones sensibles, por lo que se podían identificar dispositivos individuales y lugares visitados.
      Según se afirma, vendió el acceso a estos datos en bruto a terceros, como anunciantes, brokers de datos y empresas de análisis.
    • No son los clientes publicitarios quienes ven los datos, sino unas pocas bolsas.
      Si participas en header bidding, obtienes datos similares a los que podrías ver al operar un sitio web móvil popular.
      No sorprende que In-Q-Tel invierta en un buen negocio de arbitraje como una bolsa; son buenos inversionistas haciendo buenas inversiones, no parece una estrategia cínica de vigilancia.
    • Las “empresas cuyo propósito es perder subastas pero recopilar datos” violan los términos de Google.
      Pero Google no lo controla, porque es una forma de vender datos de usuarios sin vender explícitamente datos de usuarios.
    • Me pregunto dónde se puede solicitar esa cascada de datos.
      Ingenuamente pensaba que Google gestionaba estas pujas internamente.
    • Me pregunto si esto es legal en Europa y si es una práctica común.
  • Lo que el artículo no aborda es cómo se recopila la ubicación.
    Llamar recopilación de datos de ubicación a la geolocalización por IP es un poco exagerado, porque normalmente no es tan precisa como obtener la geolocalización directa, así que no hace falta obtenerla de un broker.
    Pero en Android, tanto ACCESS_COARSE_LOCATION como ACCESS_FINE_LOCATION requieren un diálogo de permisos, así que me pregunto exactamente cómo funciona.

    • Al menos una parte, quizá la mayoría, parece haberse derivado de las direcciones IP usadas en el proceso de puja publicitaria.
      Hay una parte que dice: “Una porción significativa de este conjunto de datos de geolocalización parece haberse inferido mediante búsquedas de geolocalización de direcciones IP. Es decir, el proveedor o su fuente determina la geolocalización consultando la dirección IP del usuario, no mediante datos GNSS/GPS. Esto sugiere que los datos no provienen exclusivamente de SDK de datos de ubicación”.
    • Es difícil considerar exagerado cuestionar que se rastreen todas las IP que usa un juego y se intente rastrear la ubicación con eso.
      Un juego no debería intentar rastrear mi ubicación en absoluto, y no debería quedar exento solo porque técnicamente la precisión sea baja.
    • Estos espacios publicitarios usan GMS services, una app básica del sistema de Google Android, y esta app tiene casi todos los permisos de acceso en el dispositivo, incluida la ubicación.
      https://developers.google.com/android/reference/com/google/a...
    • Tinder es un servicio basado en ubicación, así que es muy probable que se recopile a través de eso.
      De las demás apps no estoy seguro.
  • comm -12 <(cat gravy_app_list\ -\ count.csv| uvx --from csvkit csvcut -c 2 | rg '\.' | sort) <(adb shell pm list packages -3 | cut -f 2 -d ":" | sort)
    El CSV se puede descargar desde https://docs.google.com/spreadsheets/d/1Ukgd0gIWd9gpV6bOx2pc... y verificar si hay coincidencias entre las apps del teléfono
    Al ver mi lista, me surgen dos dudas: cuál sería una buena app alternativa a PodcastAddict, si en la versión paga se detiene todo el tráfico publicitario y no solo la visualización de anuncios en pantalla, y cómo entró MS Outlook en esta lista en primer lugar

    • AntennaPod
    • Esta lista es sospechosa
      PodcastAddict ni siquiera solicita permiso de ubicación[1]
      Entonces, ¿cómo podría acceder a la ubicación? Si se lee el artículo con atención, deja abierta la posibilidad de que la ubicación quizá no haya salido de las apps de Gravy
      En el mejor de los casos, obtendría ubicación por IP, y esa es información que de todos modos se envía a cualquier sitio web que uno visita
      Dice: “Este conjunto de datos parece provenir del hackeo de Gravy, pero no está claro si Gravy recopiló directamente estos datos de ubicación, si los obtuvo de otra empresa, ni qué compañía de datos de ubicación los poseía o tenía licencia para usarlos en última instancia”
      [1] https://play.google.com/store/apps/details?id=com.bambuna.po...
    • Le pregunté al desarrollador de Podcast Addict junto con el artículo, y su respuesta fue exactamente esta
      “Hola, no entiendo de qué trata este correo. Por supuesto, todas las apps de podcasts se conectan a contenido de terceros para hacer streaming, por lo que las plataformas de hosting, los servicios de seguimiento y los servicios de publicidad que usan los podcasters pueden acceder a la dirección IP del usuario.
      Decir que una app de podcasts filtra la dirección IP es tan absurdo como decir que lo hace un navegador web. Es solo una herramienta para conectarse a contenido de terceros y, a menos que uses una VPN, el servidor al que te conectes siempre podrá acceder a tu dirección IP.
      La app no tiene la ubicación del usuario. Como pueden ver, no solicita permiso de ubicación, así que la app no tiene información de ubicación que compartir. Pero, naturalmente, la IP se revela a cualquier servidor al que se conecte.
      Xavier”
    • Es más fácil bloquear los servidores de anuncios a nivel DNS
      Se puede configurar, así que uso NextDNS [1], y el DNS de AdGuard [2] probablemente también funcione bien
      1. https://nextdns.io/
      2. https://adguard-dns.io/en/welcome.html
    • La forma de reducir dependencias es grep -f gravy_app_list\ -\ count.csv <(adb shell pm list packages -3 | cut -d":" -f2)
  • La publicidad es un virus que infecta todos los ecosistemas

    • Los virus todavía tienen muchos misterios sin resolver, podrían ser más importantes para los ecosistemas funcionales de lo que pensamos, y también tienen trucos útiles que solo los virus pueden hacer
      Esto se parece más bien al envenenamiento por plomo
    • La publicidad se parece más a un vector de transmisión ideal para propagar cosas dañinas
      No hay nada intrínsecamente malo, pero a la gente que hace cosas malas le encanta
  • Artículo relacionado: La FTC tomó medidas contra Gravy Analytics y Venntel por vender datos de ubicación, 194 puntos y 158 comentarios
    https://news.ycombinator.com/item?id=42309429

  • https://web.archive.org/web/20250109211053/https://www.wired...
    https://archive.ph/Danyk

  • Me pregunto si es correcto entenderlo como que estas apps pueden eludir los permisos del sistema operativo sobre si se permite el acceso a datos de ubicación

    • Me pregunto si en iOS las apps no estarán abusando de la actualización de apps en segundo plano
      Según entiendo, no es difícil crear una tarea en segundo plano que envíe solicitudes de red periódicamente
      Bastaría con que una tarea en segundo plano envíe una solicitud HTTP a un servidor de una red publicitaria incluyendo algún identificador único, y que el servidor procese la geolocalización por IP
      En muchas redes móviles la precisión no sería alta, pero algunos ISP tienen IP segmentadas hasta el nivel de colonia/barrio, así que con Wi‑Fi podría volverse bastante granular
      Previendo esta posibilidad, desactivé la actualización de apps en segundo plano para casi todas las apps y no noté que empeorara la experiencia de uso
      Al usar 1Blocker, que crea una VPN ficticia en el dispositivo para bloquear solicitudes IP de rastreadores en iOS, vi que al desactivar la actualización de apps en segundo plano el número de solicitudes bloqueadas cayó mucho
      Algunas eran diagnósticos inofensivos como Sentry, pero la mayoría no lo eran
      Me gustaría que alguien familiarizado con el desarrollo en iOS explicara si esto es realmente posible, considerando las restricciones de ejecución de las tareas en segundo plano
    • Dice: “Una parte considerable de este conjunto de datos de geolocalización parece haber sido inferida mediante búsquedas de direcciones IP para obtener la ubicación geográfica. Es decir, el proveedor o su fuente no deriva la ubicación a partir de datos GNSS/GPS, sino identificando la dirección IP del usuario. Esto sugiere que los datos no provienen exclusivamente de SDK de datos de ubicación”
      Probablemente, si el permiso está activado usan la ubicación, y si no, es muy posible que lo sustituyan por geolocalización por IP
      Las subastas en tiempo real son una pesadilla para la privacidad: difunden el comportamiento del usuario en tiempo real a todos los proveedores de anuncios y se apoyan en una promesa de meñique de “no vamos a abusar de esto”
    • No
      Donde hay datos de ubicación precisa, es porque el usuario concedió el permiso
      No sé por qué Candy Crush tendría que pedir ubicación precisa, pero estoy bastante seguro de que CC no solicita ese permiso
  • Personalmente estoy esperando que el gobierno le caiga con todo a Tinder
    El poder monopólico que tiene después de combinar varias apps de citas es realmente absurdo
    Todos se quejan de las externalidades sociales que trajo el auge de internet, pero es difícil negar que, a largo plazo, hay pocas variables más importantes para el éxito de un país que esta

    • Me pregunto qué es exactamente lo problemático de Tinder
      Nunca lo he usado, pero lo imagino más o menos como un Facebook para sexo
      ¿Es peor que los servicios de Meta?