研究发现数千款流行移动应用程序被利用大规模获取位置数据

据称，Android和iOS上的数千款流行移动应用程序被利用，以前所未有的规模收集敏感位置数据。这种通过广告生态系统进行的数据收集很可能是在用户甚至应用程序开发人员本身都不知情的情况下进行的。

这些信息来自GravyAnalytics的黑客文件，这是一家位置数据公司，其子公司Venntel曾向美国执法机构出售全球位置数据。Wired报道了这一信息，并与404Media合作制作了这篇报道。

数据泄露事件暴露了一个庞大的应用程序网络，从CandyCrush等流行游戏到Tinder和Grindr等约会应用程序，不一而足。其中还包括怀孕跟踪和宗教祈祷应用程序等敏感类别。

网络安全公司SilentPush的高级威胁分析师ZachEdwards告诉404Media："我们似乎首次公开证明，向商业和政府客户销售数据的最大数据经纪商之一似乎是从在线广告'竞价流'中获取数据，而不是将代码嵌入应用程序本身。"

这一消息揭示了实时竞价（RTB）的世界，即公司通过竞价在应用程序中投放广告的过程。然而，这一系统有一个危险的副作用：数据经纪人可以拦截这一过程，获取手机用户的位置数据。

爱德华兹将此描述为"隐私保护的噩梦"，并补充说："有一些公司就像全球的蜜獾一样，对每一条数据为所欲为"。

数据收集的规模令人震惊。被黑客攻击的Gravy数据包括来自美国、俄罗斯和欧洲设备的数千万手机坐标。受影响应用程序的列表非常广泛，涵盖了社交网络、健身追踪器、电子邮件客户端等多个类别，甚至包括用户为保护隐私而下载的VPN应用程序。

尽管数据泄露事件似乎涉及GravyAnalytics，但目前仍不清楚Gravy是自己收集这些位置数据，还是从其他来源获得这些数据。该数据集的日期可追溯到2024年，是位置数据行业不透明世界中难得的一瞥。

GravyAnalytics在这个生态系统中扮演着举足轻重的角色，它汇总各种来源的手机定位数据，并通过其子公司Venntel出售给商业实体或政府机构。此前的调查显示，Venntel的客户包括多个美国政府机构，如移民与海关执法局(ICE)、海关与边境保护局(CBP)、国税局(IRS)、联邦调查局(FBI)和缉毒局(DEA)。

这种数据收集影响深远，引发了严重的隐私问题，并凸显出这些数据可能会被用于用户从未打算或同意的用途。例如，媒体曾展示过一个名为"LocateX"的工具如何利用Venntel的数据监控州外堕胎诊所的访客。

名单上的大多数应用程序开发商和公司都没有回应置评请求。不过，Flightradar24在一封电子邮件中表示，从未听说过Gravy，但承认显示广告是为了"帮助Flightradar24保持免费"。

Tinder否认与GravyAnalytics有任何关系，而MuslimPro（受影响的祈祷应用程序之一）则声称它没有授权广告网络收集其用户的位置数据。

发现这些数据似乎来源于实时竞价，意义尤为重大。它将责任转嫁给了广告行业的不法行为者和为其提供便利的科技巨头。这也表明，许多大型应用程序发布商可能并不知道他们的用户数据被窃取，因此很难采取预防措施。

数字取证公司Adalytics的创始人KrzysztofFranaszek审查了泄露的数据，并指出"这些数据中至少有一部分可能来自与广告相关的实时竞价"。他指出，有证据表明，Google的广告平台正在提供一些广告，使外部公司（包括潜在的政府承包商）能够进行这种跟踪。

美国联邦贸易委员会最近也对类似行为采取了行动。12月，该机构禁止定位数据公司Mobilewalla"出于参与在线广告拍卖以外的目的"收集消费者数据。联邦贸易委员会还命令Venntel和GravyAnalytics删除历史位置数据，并禁止它们出售与敏感地区（如医疗诊所和宗教场所）相关的数据，但在有限的情况下除外。