Bu hafta Kilit ve Kod podcast’inde…
Konum verileri dünyasında bir şey doğru değil.
Ocak ayında, Gravy Analytics adlı bir konum veri brokeri saldırıya uğradı, saldırının arkasındaki siber suçlu olduğu iddia edilen siber suçlu, kanıt olarak çevrimiçi muazzam miktarda veri yayınladı. Halkın çoğu tarafından nispeten bilinmemekle birlikte, Gravy analitiği konum veri toplama dünyasında büyüktür ve geçen yıl ABD Federal Ticaret Komisyonu’ndan bir icra eylemine göre, şirket “günde yaklaşık bir milyar mobil cihazdan 17 milyardan fazla sinyali topladığını, işlediğini ve küratörlüğünü yaptığını” iddia etti.
Hack nedeniyle bu kadar milyarlarca sinyal, güvenlik araştırmacılarının, gazetecilerin ve meraklı izleyicilerin incelemeleri için sergileniyorlardı ve yaptıkları zaman ilginç bir şey buldular. İhlal edilen konum verileri arasında listelenen, Tinder, Grindr, Candy Crush, Fitness Pal, Tumblr ve daha fazlası dahil olmak üzere binlerce popüler mobil uygulamaya ara sıra referanslar vardı.
Kanıtlanmamış olsa da, ima açıktı: mobil uygulamalar, belirli ihlal edilen veri satırlarıyla adlandırıldı çünkü bu uygulamalar kaynak ihlal edilen verilerin. Ve konum verilerinin doğrudan mobil uygulamalardan veri brokerlerine ve reklamverenlere ne kadar kolay işlem gördüğü göz önüne alındığında, bu çok olağandışı bir öneri değildi.
Bugün, neredeyse her ücretsiz mobil uygulama reklamlar aracılığıyla para kazanıyor. Ancak reklam satın alma ve çevrimiçi satış, gazeteler ve televizyon programları için olduğundan çok daha sofistike. Şirketler hala reklamlarını demografik özelliklerin önüne yerleştirmek isterken, bir satın alma şansına sahip olacağına inanıyorlarken – karikatürler sırasında Wall Street Journal veya oyuncak reklamlarının içinde servet planlama reklamlarını düşünün – sürecin çoğu, veri “açık artırmalarda” teklif verebilecek yazılım parçaları aracılığıyla gerçekleşiyor. Kısacası, mobil uygulamalar bazen konumları, cihaz türleri ve hatta pil seviyeleri de dahil olmak üzere kullanıcıları hakkında veri toplar. Uygulamalar daha sonra bu verileri bir reklam müzayedesine getirir ve ayrı şirketler, reklamlarını belirli bir zaman diliminde iPhone kullanıcılarına veya belirli bir dil konuşan Android kullanıcılarına gönderme yeteneğine “teklif verir”.
Bu süreç her gün, her gün sayısız kez gerçekleşir, ancak Grav analytics ihlali durumunda, verilerde atıfta bulunulan bazı uygulamalar, biri, Gravy analitiği hiç duymadıklarını ve iki, hiçbir reklamverenin kullanıcılarının konum verilerini toplama hakkına sahip olmadığını ifade etti.
404 Medya ile konuşurken, Tinder’dan bir temsilci şunları söyledi:
“Grav analitiği ile hiçbir ilişkimiz yok ve bu verilerin Tinder uygulamasından elde edildiğine dair hiçbir kanıtımız yok.”
Grindr temsilcisi düşünceyi yineledi:
“Grindr, Grav Analytics ile hiç çalışmadı veya veri sağlamadı. Verileri veri toplayıcıları veya brokerlerle paylaşmıyoruz ve coğrafi konumları yıllarca reklam ortaklarıyla paylaşmıyoruz. ”
Ve Müslüman bir dua uygulaması temsilcisi Müslüman Pro, aynı şeyleri söyledi:
“Evet, uygulamanın ücretsiz sürümünü desteklemek için birkaç reklam ağı üzerinden reklamları görüntüleriz. Ancak, yukarıda belirtildiği gibi, bu ağlara kullanıcılarımızın konum verilerini toplamaya izin vermiyoruz. ”
Tüm bunların önerdiği şey diğer Mekanizma, bu uygulamaların kullanıcılarının konumlarının çevrimiçi olarak sızmasına ve toplanmasına izin veriyordu.
Ve bunu kanıtlamaya çalışmak için, bağımsız bir araştırmacı bir deney gerçekleştirdi: Kendini potansiyel olarak sızdırılmış verileriyle bulabilir mi?
Bugün, ev sahibi David Ruiz ile Kilit ve Kod podcast’inde, bağımsız araştırma Tim Shott ile sızdırılmış konum verileri hakkındaki soruşturması hakkında konuşuyoruz. Deneyinde Shott, ihlalde atıfta bulunulan iki mobil oyun, Stack adlı eski bir oyun ve Subway Surfers adlı daha güncel bir oyun kurdu. Bu oyunların konumunu bilmek için hiçbir nedeni yoktu, ancak saniyeler içinde, enlemini, boylamını ve öğreneceğimiz gibi çok daha fazlasını içeren binden fazla veri isteği görebildi.
“Tüm bu isteklere bakmaya şaşırdım. Belki yüzde 10 [them had] Verilerimin gönderildiği web sitelerinin tanıdık adları, sanırım bu pazar, bu konuda ne kadar az biliyorsanız, bakış açılarından o kadar iyi çalışıyor. ”
Tüm konuşmayı dinlemek için bugün ayarlayın.
Notlar ve Krediler Nasıl:
Giriş Müziği: Kevin MacLeod (Incompetech.com)
Creative Commons altında lisanslı: Atıf 4.0 lisansına göre
http://creativecommons.org/licenses/by/4.0/
Outro Müzik: Wowa’dan “İyi Tanrı” (unminus.com)
Dinle – Malwarebytes sadece siber güvenlikten bahsetmiyor, biz de sunuyoruz.
Kendinizi Kilit ve Kod Dinleyicileri için Malwarebytes Premium için özel teklifimizle kimliğinizi, dosyalarınızı, sisteminizi ve finansal refahınızı tehdit eden çevrimiçi saldırılardan koruyun.