Rastreando la ubicación desde anuncios dentro de apps: cualquiera puede saber dónde estoy
(timsh.org)- Tras encontrar 3 apps de iPhone instaladas en la lista filtrada de Gravy Analytics, se capturó directamente el tráfico publicitario del juego gratuito Stack para rastrear cómo la ubicación y la IP salen hacia terceros
- Incluso con los servicios de ubicación y el rastreo de apps desactivados, las solicitudes de Unity Ads incluyen latitud y longitud, IP, marca de tiempo, operador, IDFV, valores de consentimiento y más
- Las solicitudes de Facebook, adjust.com y configuración de Unity también reciben señales del dispositivo como IP y marca de tiempo, o brillo de pantalla, batería y memoria, lo que permite perfilar al usuario incluso sin identificadores publicitarios
- El IDFA quedaba vacío al rechazar el rastreo, pero entre apps del mismo desarrollador se mantenía el IDFV, y la IP, la ubicación, el user agent y varios identificadores seguían fluyendo al ecosistema publicitario
- Si se combinan los datos de pujas publicitarias, los datos de ubicación MAID y los datasets
MAID <> PII, el historial de movimientos de una persona puede vincularse con su nombre, teléfono y dirección
Un experimento de rastreo directo iniciado por una lista filtrada
- La filtración masiva de datos de ubicación de Gravy Analytics incluía que más de 2,000 apps de App Store y Google Play recolectaban datos de ubicación sin consentimiento del usuario
- En la lista pública se encontraron al menos 3 apps instaladas en el iPhone, lo que llevó a un experimento para comprobar si era posible comprar desde afuera los propios datos de ubicación
- El entorno del experimento fue el siguiente
- Un iPhone 11 restablecido de fábrica y un Apple ID nuevo
- Registro del tráfico entrante y saliente con Charles Proxy
- Instalación de un certificado SSL en el iPhone para descifrar tráfico HTTPS
- El juego simple Stack de KetchApp
- Al abrir Stack, durante el primer minuto llegaron solicitudes en ráfaga, y salían varias prácticamente a cada momento
Las solicitudes de Unity Ads llevan ubicación e IP
- Las solicitudes de Unity Ads enviadas a
https://o.isx.unity3d.comincluían datos de ubicación incluso con los servicios de ubicación desactivados - El cuerpo de la solicitud tenía más de 200 claves, y algunos valores de ejemplo eran los siguientes
- Marca de tiempo
2025-01-18T23:27:39Z - Código de país
ES sports.bwin.es, que parece ser el dominio donde se mostraría el anunciomolocoads-eu-banner, que parece ser la red del banner- Dirección IP
cip - Modelo del dispositivo
iPhone12,1 - Tipo de conexión Wi‑Fi
- Operador
Yoigo ifv, es decir, IDFV- Latitud y longitud
- IP del servidor
uc: 1, indicado como valor de consentimiento para rastreo del usuario
- Marca de tiempo
- Este flujo seguía la ruta Stack → Unity → Moloco Ads → anuncio de Bwin, y efectivamente dentro del juego también se mostraba publicidad de Bwin
- La ubicación no era extremadamente precisa, pero sí quedaba dentro del mismo código postal; en ese momento el iPhone estaba conectado por Wi‑Fi y no tenía SIM
Las solicitudes de Facebook y de configuración de Unity también reciben señales del dispositivo
- Aunque no había apps de Meta instaladas ni se había vinculado una cuenta de Facebook con la app o con el Apple ID, las solicitudes relacionadas con Facebook incluían IP y marca de tiempo
- La IP y la marca de tiempo estaban dentro de
bidder_token_infoybt_extrasde esa solicitud, y además se enviaban muchos otros datos - La solicitud de configuración de Unity a
https://configv2.unityads.unity3d.comno incluía información personal directa como ubicación o nombre, pero sí varios datos del estado del dispositivo- Versión del sistema operativo, tipo de conexión y marca de tiempo del evento
vendorIdentifier- Si había audífonos con cable
- Volumen
- Número de CPU
- Hora de arranque del sistema
- Estado de la batería
- Brillo de pantalla
- Memoria disponible y memoria total
- Zona horaria
- Almacenamiento
- Operador de red
advertisingTrackingId
- adjust.com también era uno de los “provider” que recibían IP y marca de tiempo, aunque el cuerpo de esa solicitud no se analizó por separado
Rechazar el IDFA solo bloquea algunos identificadores
ifvo IDFV significa ID for Vendor, un identificador único por desarrollador- Al instalar otro juego de KetchApp y revisar las solicitudes, el valor de
ifvera el mismo que en Stack advertisingTrackingId, es decir, IDFA, es un identificador compartido entre desarrolladores cuando se permite el rastreo entre apps- Al comparar en Stack entre permitir y rechazar el rastreo, en el estado de rechazo el IDFA quedaba configurado como
000000-0000... - Lo que cambiaba al permitir o no el rastreo era el uso compartido del IDFA; datos como IP, ubicación y marca de tiempo seguían enviándose
- Si se usan 10 apps del mismo desarrollador y en una de ellas se permite el rastreo, los datos recolectados por esas apps del desarrollador podrían reforzarse con el IDFA
- En las solicitudes aparecían varios identificadores como
tid,sid,device_idyuid, ydevice_idyuidtambién se compartían con Facebook
La ruta por la que viajan los datos de pujas publicitarias
- La ruta de la solicitud donde se filtraba la ubicación seguía Stack →
o.isx.unity3d.com→ Moloco Ads → anunciante Bwin - Unity Ads cumple el papel de SSP que recolecta datos mediante el SDK de la app
- El desarrollador de la app puede instalar el SDK y recibir ingresos por publicidad
- No necesita registrar por separado un exchange publicitario ni crear por sí mismo la lógica de recolección de datos
- Moloco se presenta como una red DSP que recibe datos de varios SSP como Unity, Applovin y Chartboost para conectarlos con anunciantes
- Las empresas que se vuelven socios publicitarios pueden acceder a los datos durante el proceso de puja, y también es posible una estructura donde se recolectan datos al mismo tiempo que se participa normalmente en las subastas del exchange publicitario
- La publicación de adops en Reddit y este comentario explican que, al integrarse con un SSP que provee bidstream, se puede acceder a los datos de puja, y que el SSP es responsable de verificar a los proveedores
Brokers de datos y datos de ubicación MAID
- Después de confirmar la ruta por la que salen los datos, al buscar dónde se vendían se encontró Datarade
- Al buscar datos relacionados con MAID aparecieron cientos de opciones, y el precio del dataset de Redmob figuraba en $120,000 al año
- No fue posible obtener una muestra de Redmob desde solicitudes al sitio web, pero sí estaba publicada en Databricks Marketplace
- La descripción de la muestra de Redmob indica que ofrece datos de ubicación que cubren más de 1,500 millones de dispositivos en todo el mundo, y que también puede ofrecer datos por región como MENA, Africa y APAC
- “low latency” significa que se puede conocer la ubicación del momento en que la app compartió la ubicación por última vez, y ese momento podría haber sido hace 5 segundos
- Los datos de muestra tenían una columna
app, lo que deja claro que la fuente de los datos es una app - La columna
yodpodría significar año de nacimiento, aunque no se confirmó su significado real ni su origen
Combinación de MAID con información personal identificable
- Para rastrear a una persona solo con su historial de ubicación y movimientos, hace falta poder vincular un MAID o
ifacon información personal real, como nombre, dirección o teléfono - En Datarade también existen datasets del tipo
MAID <> PII - La tabla de muestra de AGR Marketing Solutions se ofrece en Google Docs e incluye nombre completo, email, número telefónico, dirección física, información de propiedad inmobiliaria e IDFA
- En esta estructura, se pueden combinar los datos de ubicación MAID con los datos
MAID <> PIIpara conectar el historial de movimientos con información personal
Cómo se puede encontrar el historial de movimientos de una persona específica
- Al usar apps gratuitas y moverse de un lugar a otro, los datos de ubicación se convierten en información más valiosa
- Aunque se permita o se rechace el rastreo de apps, la combinación de IP, ubicación, user agent e información geográfica puede filtrarse a múltiples terceros
- Un DSP falso y un broker de datos pueden recibir esos datos en cuestión de segundos
- Con datos
MAID <> PIIcomprados, se puede vincular un nombre o número telefónico con IDFA, dirección IP y user agent - Luego, al filtrar dentro de Mobility data usando los valores del paso anterior, se puede encontrar el historial de movimientos de una persona específica
- El flowchart que resume todo el flujo muestra la conexión entre apps, redes publicitarias, brokers y datasets de información personal
- Cada unidad de transacción puede ser legal o parecer legal, pero la estructura completa al combinarse hace posible el rastreo de la ubicación de una persona
1 comentarios
Comentarios en Hacker News
El gran problema de privacidad es que, hagas lo que hagas, no hay una forma normal de evitar que se vendan los datos de tus contactos
En el momento en que mi prima abre TikTok y pulsa “compartiré todos mis contactos”, también se mezclan ahí mi nombre, teléfono y correo electrónico
De hecho, yo mismo he comprado datos así. Si me bloquean en atención al cliente, busco a un ejecutivo en un marketplace, pago unas monedas por su contacto y luego llamo a su celular; por lo general funciona, aunque también puede salir muy mal. CashApp me cerró la cuenta por hacer eso
Puede que sea casi la única forma de hacer que la gente con poder replantee la estructura actual. Cuando Red Reddington dijo que no tenía correo electrónico, la gente se rió, pero viendo situaciones así, se entiende
https://mobiledevmemo.com/wp-content/uploads/2024/09/image.p...
La interfaz también parece diseñada para empujar a la gente a permitir solo algunos contactos, en vez de pulsar distraídamente “permitir todo”
El problema más grande son los datos de contacto que se entregan a minoristas en línea. La recolección de contactos mediante apps es visible y recibe reacción de la prensa y de los consumidores, pero en una compra en línea tienes que poner correctamente nombre, dirección, teléfono y correo, y además es muy probable que sean reales por motivos de envío y pago. Esos datos pueden terminar silenciosamente en manos de corredores de datos, sin un modal tipo “TikTok solicita acceso a tus contactos”
Al final se les advertía que no lo hicieran de nuevo, y en la segunda infracción se tomaban medidas más fuertes. En algunos casos el equipo legal corporativo intervenía de inmediato, y hasta se mencionó a las autoridades por personas que intentaban conseguir lo que querían mediante amenazas implícitas
Por eso entiendo por qué las empresas bloquean rápido a clientes que se acercan de esa manera
Da gusto ver una investigación tan detallada. Muchos textos sobre privacidad carecen de profundidad técnica o exageran al no distinguir entre las preocupaciones de privacidad y el nivel real de riesgo
Se menciona mucho la investigación de Mozilla sobre las políticas de privacidad de los autos, pero eso se parece más a un resumen de lo que los abogados de las automotrices decidieron que debía incluirse en esas políticas. La política sugiere que podrían grabarse conversaciones dentro del vehículo, y es muy probable que de verdad pueda pasar, pero no entra en los detalles técnicos
Por ejemplo, quedan preguntas como si la automotriz graba y transmite todo el audio durante toda la conducción, si solo graba muestras aleatorias, si solo graba durante los comandos de voz y en ese proceso los abogados cubrieron de forma amplia datos que podrían colarse por accidente, dónde se guarda, por cuánto tiempo, si va a terceros y qué sistemas pueden desactivarse y si desactivarlos afecta funciones, garantía o prima del seguro
Estas preguntas pueden variar casi infinitamente según el fabricante. Muchas noticias sobre privacidad se quedan en escenarios de terror que asustan pero tienen poco sustento; sin detalles ni formas de mejorar la situación, lo único que se propaga es cinismo
Hasta donde sé, cierto fabricante también tenía una política así. Cuando nuestra organización decidió que necesitaba una línea base estadística para una región concreta, se hicieron unas llamadas a las personas adecuadas y, poco después, recibimos una mapa de trayectorias de movimiento de alta precisión de todos los vehículos de esa marca que circularon por esa zona en ese periodo, en una forma ligeramente anonimizada
Las aseguradoras suben las primas de autos por muchas razones, reales o inventadas, pero no te la van a disparar solo porque el vehículo no tenga un sistema de grabación
Algunas aseguradoras sí te cobran menos si reciben acceso a los patrones de manejo del asegurado y concluyen que el riesgo es menor. Pero esa ya es otra pregunta
Hay bastantes flujos de rastreo bastante interesantes. Pago la renta a una empresa llamada Bilt, y ahora descubrí que si compro en Walgreens, Bilt me manda por correo el recibo completo con todos los artículos que compré
El ejemplo dice “compraste en Walgreens y acumulaste Bilt Points con el beneficio Neighborhood Pharmacy”, y muestra artículos como TOSTITOS, precio, puntos e incluso artículos excluidos
Uno esperaría que al menos excluyeran artículos sensibles como Plan B o condones, pero me pregunto cómo fluye esta información desde Walgreens hasta la empresa con la que pago la renta. Tal vez sería mejor no saberlo y usar efectivo o cheque de caja
Aquí hay un hilo corto de comentarios de hace unos meses: https://news.ycombinator.com/item?id=41213632
https://support.biltrewards.com/hc/en-us/articles/2901187842...
En la sección de beneficios FSA/HSA de abajo, especifica que Bilt recibe datos a nivel de artículo
https://www.biltrewards.com/terms/walgreens
En el perfil de Bilt hay una sección donde te muestra si está vinculada a otras tarjetas de crédito, y ya de entrada da bastante miedo que las tarjetas aparezcan listadas ahí
Yo definitivamente lo desactivé. Al final Bilt es un gran programa de puntos y recompensas, así que si lo dejas conectado, quizá recibas puntos
Todavía no entiendo exactamente cuál es el plan de negocio de Bilt, pero parece que la clave es recolectar la mayor cantidad posible de datos financieros de la gente, y para eso se asocian con arrendadores. Como es el medio para pagar la renta, tampoco es fácil salirse por completo, y quizá termines teniendo que mandar un cheque en papel por correo al arrendador
Fue más invasivo que cualquier software que haya usado hasta ahora, y ni siquiera sé si esto es legal. Pero en Estados Unidos, donde en la práctica no existen derechos reales de privacidad, esto es posible
En vez de hacer que el usuario elija este nivel de acceso, te inscriben automáticamente al crear la cuenta, extraen los datos y luego te dejan “optar por salirte”. Para entonces, de todos modos ya pueden acceder a tus datos financieros personales y sensibles. Como si tu edificio cobra la renta por Bilt, la cuenta es prácticamente obligatoria, el sistema está diseñado para que millones de personas entreguen sus datos sin saberlo
En la configuración de privacidad de Bilt hay opciones que puedes desactivar, incluido Instant Link, y recomiendo apagar todo. Pero viendo las prácticas turbias de esta empresa, cuesta creer que realmente respeten esa configuración
¿Sabías que una empresa llamada Method Financial tiene de alguna manera acceso en tiempo real a todos tus datos financieros personales y sensibles? ¿Sabías que esta empresa, de la que nunca habías oído hablar, vende ese acceso al mejor postor? ¿Recuerdas haber dado tu consentimiento para eso en algún lado? Yo tampoco a todo
[0]: https://www.biltrewards.com
[1]: https://methodfi.com
Sobre “¿por qué necesitan saber el brillo de la pantalla, la capacidad de memoria, el volumen actual o si llevas audífonos?”, esto parece más bien agregar entropía para desanonimizar al usuario entre apps, más que mejorar la precisión de las pujas publicitarias
Las nuevas versiones de los SDK publicitarios tardan en desplegarse. Normalmente se calcula que, después de lanzar una nueva versión, toma unos 6 meses para que el 50% del tráfico publicitario venga de esa versión o superior. Además, sin importar la versión que publiques, cerca del 1% del tráfico nunca se actualiza más allá de esa versión
En ese mundo, recolectar datos en exceso tiene sentido comercial, sobre todo si crees que nadie se va a dar cuenta. Cosas como el espacio total o libre en disco quizá no parezcan útiles de inmediato, pero si un anunciante dice “quiero gastar 1 millón de dólares al día en anuncios para un juego de 10GB, pero solo quiero mostrarlos en dispositivos donde se pueda instalar”, de pronto se vuelve útil saber que el dispositivo solo tiene 8GB de almacenamiento o que le quedan 100MB libres
Si no hubieras recopilado el espacio en disco, ahora tendrías que agregarlo al SDK. Tardarías 1 o 2 meses en lanzar el nuevo SDK, 3 meses para obtener tráfico significativo y otros 3 meses para llegar al 50%. Suponiendo un crecimiento lineal, ganarías 22.5 millones de dólares durante 7 meses, pero si la lógica hubiera estado desde el principio, en ese mismo periodo habrías ganado 210 millones. Para el área de negocio, la decisión es fácil
Hay soluciones, pero todas tienen desventajas. Si limitas los datos que una empresa publicitaria puede recolectar, el valor de la publicidad baja. Las empresas sí están eliminando datos de poco valor y alto riesgo, como la ubicación. Personalmente creo que sería mejor permitir un modelo donde el código publicitario pueda actualizarse de forma independiente de la app, pero Apple no parece que vaya a hacerlo pronto, y la respuesta de Google es tan desordenada que no la veo viable en los próximos 4 años
Como detalle adicional, el brillo de pantalla es una variable sustituta para estimar de forma muy aproximada la edad del usuario
“Si hubiera sido LTE, la latitud y longitud habrían sido mucho más precisas” es incorrecto. Si la app no tiene permiso de ubicación, no puede acceder a la información de Cell ID; y si sí tiene permiso, simplemente podría pedir la ubicación directamente.
La frase “las apps gratuitas recopilan ubicación precisa y marcas de tiempo” también es alarmista y no cuadra con el contexto. El autor mismo admite unos párrafos antes que “la ubicación compartida no era tan precisa”.
Es posible que una app solicite una ubicación precisa mediante los servicios de ubicación, pero esa app no pide ese permiso. En Android se puede verificar; en iOS es difícil revisar los permisos solicitados antes de instalar y ejecutar, pero casi con certeza este tipo de apps está limitado a una ubicación “no tan precisa”.
En teoría, una ad exchange no debería crear un ID alternativo que permita rastreo entre apps sin el IDFA. Pero es difícil hacer cumplir eso.
“Si un usuario restablece el Advertising Identifier, no debe combinar, correlacionar, vincular ni asociar, de forma directa o indirecta, el Advertising Identifier anterior ni la información derivada con el Advertising Identifier restablecido”
https://developer.apple.com/support/terms/apple-developer-pr...
Sería bueno comparar si los datos transmitidos cambian cuando provienen de países con mejores leyes de privacidad.
Como había pedido “que no rastree”, el Advertising Tracking ID quedó configurado como 000000-0000, y al comparar las solicitudes encendiendo y apagando la opción de rastreo de la app Stack, quedó claro que esa era la única diferencia.
Siempre pensé que la extraña redacción de Apple, “Ask App not to track”, dejaba margen para sospechas. Puede que una app no rastree usando un ID, pero si envía muchos otros datos, puede crear fácilmente una huella digital del usuario. Incluso sin un ID único, es posible que se entregue información suficiente para identificar al usuario en el 99% de los casos.
Teoría de la Privacidad Muerta, revisada: la Dead Internet Theory dice que la mayor parte de la actividad en internet es de bots [0]. La Dead Privacy Theory dice que casi ningún dato privado es realmente privado, y que científicos de datos, ingenieros de software, analistas, administradores de bases de datos y terceros con acceso a la base de datos pueden acceder a él si así lo desean.
[0] https://en.wikipedia.org/wiki/Dead_Internet_theory
Más detalles en https://developer.apple.com/app-store/user-privacy-and-data-...
Solo con brillo de pantalla, tiempo desde el arranque, memoria y operador, parece que se podría identificar por huella digital casi cualquier dispositivo.
Leer Hacker News resulta interesante. La gente de IT que crea software que hace posible la industria de la publicidad, la venta de datos personales y el rastreo —y que además se beneficia de ella— es la misma que más la critica. Cuesta creerlo.
La mayoría no querría trabajar en lugares que hacen eso, pero también tenemos que vivir. Y casi no tenemos influencia sobre esa decisión.
Hace poco escuché la presentación de un nuevo producto IoT en la empresa y pregunté de inmediato por qué no soportaba protocolos abiertos estándar como Matter. Me respondieron que de ninguna manera, porque marketing quiere que los clientes entren a la app para obtener “métricas” y oportunidades de upselling. Dije que me parecía bien, pero que yo jamás usaría esa basura, y simplemente me ignoraron. Somos demasiado pocos como para que les importe. Dentro de la empresa pierdes popularidad, el riesgo es alto y tampoco ayuda. La idea de “no pelees, únete y cámbialo desde dentro” es un error.
En la mayoría de las otras ramas de la ingeniería hay reglas y estándares públicos, sistemas de acreditación profesional, y la ética está atada a eso. Si pierdes tu acreditación por una falta ética, en muchos casos tu carrera puede terminar ahí.
Hace mucho que pensé en crear un servidor de rastreo de responsabilidad. La idea general es generar credenciales únicas para poder rastrear hasta la fuente quién vendió mi información
Incluso ahora hay algunos métodos, pero parece que ya es hora de volver a explorar esto. Si se ofreciera como una app+VPN/proxy que corra en un servidor en casa, recopilando mis datos directamente e insertando credenciales únicas al crear cuentas, quizá se podrían averiguar bastantes cosas
Como puede actuar como intermediario, también se podrían dejar anotaciones sobre el origen de las credenciales y observar los anuncios para rastrear la fuente. Algo como: “Este anuncio de potenciadores masculinos está vinculado a tu compra de llantas”
Aún hay muchas ideas apenas bosquejadas a mano, pero me pregunto si se podría construir algo así. El primer paso para detener este tipo de cosas es mostrarle a la gente quién lo hizo
https://developers.google.com/authorized-buyers/rtb/openrtb-...
Me intriga cómo el MAID/IDfV entra en una base de datos de PII-ID
Esa parte parece faltar por completo. Puede que se me haya pasado
Por ejemplo, cuando usas la app de una aerolínea o de una telefónica o compañía eléctrica, ¿pueden vender eso?