Přes 12 tisíc aplikací a her pro Android a iOS sbírá GPS data. Neví o tom ani jejich vývojáři, ani uživatelé | Zdroj: Xbox

Zdroj: Xbox

Přes 12 tisíc aplikací a her pro Android a iOS sbírá GPS data. Neví o tom ani jejich vývojáři, ani uživatelé

  • První velký informační únik ukázal sběr dat obřích rozměrů
  • Využívaly (a využívají) se k nim reklamy v mobilních aplikacích
  • O sběru lokačních dat neví vývojáři ani uživatelé aplikací

Nejpopulárnější mobilní hry a aplikace jsou, vědomě či nevědomě, součástí reklamního průmyslu, který v masivním měřítku shromažďuje citlivé údaje o poloze. Tato data pak končí u společnosti, která už dříve prodala geolokační data uživatelů z celého světa. Na tyto nekalé praktiky přišli hackeři, kteří se nabourali k získaným datům geolokační společnosti Gravy Analytics. Tento sběr dat přitom probíhá bez vědomí vývojářů aplikací a her i bez vědomí uživatelů smartphonů.

Klepněte pro větší obrázekKlepněte pro větší obrázekKlepněte pro větší obrázek
Geolokační data sbírá nevědomky i hra Subway Surfers, která byla první, která na Google Play překonala hranici jedné miliardy stažení

Zdrojem těchto informací je konkrétně mechanismus RTB (Real-Time Bidding), v němž společnosti "přihazují" za zobrazení reklamy v konkrétní mobilní aplikaci u konkrétního uživatele. Vedlejším efektem je však to, že tyto procesy lze sledovat, odposlouchávat a získávat z nich geolokační data.

V databázích firmy Gravy Analytics se našly desítky milionů souřadnic mobilních telefonů, nejen z USA, ale také z Evropy. U některých souřadnic dokonce útočníci zjistili i název aplikace, která data poskytovala, a nestačili se divit. Nejčastěji se jednalo o bezplatné hry, ale v nabídce se objevila i aplikace pro sledování menstruačního cyklu s 10 miliony stažení, kancelářská aplikace Microsoft 365, populární fitness a náboženské aplikace nebo velký počet VPN služeb.

Seznam aplikací, které sdílely geolokační data uživatelů:

  • Cand Crush Saga
  • Temple Run
  • Subway Surfers
  • Call of Duty: Mobile
  • Harry Potter: Puzzles & Spells
  • My Period Calendar & Tracker
  • MyFitnessPal
  • Tumblr
  • Yahoo E-mail
  • Microsoft 365
  • Flightradar24
  • a další (kompletní seznam aplikací pro iOS a Android najdete zde)

U výše uvedených aplikací není jasné, zda sběr geolokačních dat zajišťovala přímo firma Gravy Analytics, nebo využila některé ze svých reklamních partnerů. Únik tohoto rozsahu však vůbec poprvé ukázal, kolik aplikací je, často nevědomky, zapojeno do celého koloběhu sběru mobilních dat. A to se bavíme jen o datech o poloze, smartphony toho o nás umí zjistit daleko více.

Vývojáři aplikací jsou překvapení

Vývojáři největších mobilních aplikací, které se nacházejí v uniklém seznamu, jsou, slušně řečeno, „hodně překvapeni“. Tvůrci aplikace Flightradar24 uvedli, že „o Gravy Analytics ví jen to, že zobrazuje reklamy, aby mohla aplikace zůstat zdarma“. Tinder uvedl, že s Gravy Analytics nemá žádnou spojitost, ale provázanost s reklamami, které se v aplikaci zobrazují, nijak nekomentoval.

Problém je však ten, že vývojáři aplikací mohou mít při sběru dat čistý štít. Největší zranitelností jsou plochy určené pro reklamy, u nichž nemohou vývojáři vědět, zda na jejich pozadí neběží nějaké sledovací kódy. A právě to se také stalo. Firmy Google a Apple na četné dotazy ze strany médií nijak nereagovaly, a tak není jasné, jakou bude mít tento případ vlastně dohru. Změní se něco v byznysu s uživatelskými daty mobilních uživatelů, nebo v něm všechny firmy budou pokračovat dále, i za předpokladu, že by se na ně někdy mohlo přijít podobně jako na Gravy Analytics? Ukáže až čas.

Zdroj: Wired

Určitě si přečtěte

Články odjinud