Alguns dos aplicativos mais populares do mundo estão provavelmente sendo cooptados por membros desonestos da indústria de publicidade para coletar dados sensíveis de localização em grande escala, com esses dados terminando em uma empresa de dados de localização cuja subsidiária já vendeu dados de localização global para a aplicação da lei dos EUA.
Os milhares de aplicativos, incluídos em arquivos hackeados da Gravy Analytics, incluem tudo, desde jogos como Candy Crush e aplicativos de namoro como Tinder até aplicativos de rastreamento de gravidez e de oração religiosa, tanto no Android quanto no iOS. Como grande parte da coleta ocorre por meio do ecossistema de publicidade — e não pelo código desenvolvido pelos próprios criadores dos aplicativos — essa coleta de dados provavelmente está acontecendo sem o conhecimento dos usuários ou mesmo dos desenvolvedores dos aplicativos.
“Pela primeira vez publicamente, parece que temos provas de que um dos maiores corretores de dados que vende para clientes comerciais e governamentais parece estar adquirindo seus dados a partir do ‘fluxo de lances’ de publicidade online”, diz Zach Edwards, analista sênior de ameaças da Silent Push, uma empresa de cibersegurança, após revisar alguns dos dados.
Os dados fornecem uma rara visão do mundo do leilão em tempo real (RTB). Historicamente, as empresas de dados de localização pagavam desenvolvedores de aplicativos para incluir pacotes de código que coletavam os dados de localização de seus usuários. Muitas empresas mudaram para a obtenção de informações de localização por meio do ecossistema de publicidade, onde as empresas fazem lances para colocar anúncios dentro dos aplicativos. Mas um efeito colateral é que corretores de dados podem ouvir esse processo e colher a localização dos telefones móveis das pessoas.
“Esse é um cenário de pesadelo para a privacidade, porque não apenas essa violação de dados contém dados extraídos dos sistemas de RTB, mas há alguma empresa agindo como um ‘badger global’, fazendo o que quiser com cada pedaço de dados que chega até ela”, diz Edwards.
Incluídos nos dados hackeados da Gravy estão dezenas de milhões de coordenadas de telefones móveis de dispositivos nos EUA, Rússia e Europa. Alguns desses arquivos também fazem referência a um aplicativo ao lado de cada pedaço de dado de localização. A lista inclui sites de namoro como Tinder e Grindr; jogos massivos como Candy Crush, Temple Run, Subway Surfers e Harry Potter: Puzzles & Spells; o aplicativo de transporte Moovit; My Period Calendar & Tracker, um aplicativo de rastreamento de período com mais de 10 milhões de downloads; o popular aplicativo de fitness MyFitness Pro; a rede social Tumblr; o cliente de e-mail da Yahoo; o aplicativo do Microsoft 365; e o rastreador de voos Flightradar24. A lista também menciona vários aplicativos focados em religião, como aplicativos de oração muçulmana e bíblia cristã, vários rastreadores de gravidez e muitos aplicativos de VPN, que alguns usuários podem baixar, ironicamente, na tentativa de proteger sua privacidade.
A lista completa pode ser encontrada aqui. Vários pesquisadores de segurança publicaram outras listas de aplicativos incluídos nos dados, de tamanhos variados. Nossa versão é relativamente maior porque inclui aplicativos Android e iOS, e decidimos manter instâncias duplicadas do mesmo aplicativo que apresentavam pequenas variações de nome para facilitar a pesquisa dos leitores sobre aplicativos que eles instalaram.
Embora este conjunto de dados tenha vindo de um aparente hack da Gravy, não está claro se a Gravy coletou esses dados de localização por conta própria ou os obteve de outra empresa, ou qual empresa de localização possui ou está licenciada para usar esses dados.
Grande parte dos dados de localização anexados a esses nomes de aplicativos não possui um carimbo de data/hora. Mas há indicações de que datam de 2024. Um dos aplicativos listados é Call of Duty: Mobile, e especificamente sua iteração da Temporada 5, que foi lançada em maio de 2024.
A Gravy é uma empresa que alimenta grande parte da indústria de dados de localização. Ela agrega dados de localização de telefones móveis de várias fontes e os vende para empresas comerciais ou, por meio de sua subsidiária Venntel, para agências governamentais dos EUA. O outlet norueguês NRK e eu revelamos anteriormente o fluxo de dados de localização de um punhado de aplicativos comuns para a Gravy e depois para a Venntel. Os clientes da Venntel incluem o Departamento de Imigração e Alfândega, a Alfândega e Proteção de Fronteiras, o IRS, o FBI e a Administração de Controle de Drogas.
A Venntel também forneceu os dados subjacentes para outra ferramenta de vigilância comprada pelo governo chamada Locate X. A 404 Media e um grupo de outros veículos mostraram no ano passado como essa ferramenta, feita por uma empresa chamada Babel Street, poderia ser usada para monitorar visitantes de clínicas de aborto fora do estado.
Mas os novos dados hackeados mostram pela primeira vez quantos aplicativos podem fazer parte de uma cadeia de suprimento de dados de localização, mesmo que seus desenvolvedores não estejam cientes disso. A maioria dos desenvolvedores de aplicativos e empresas incluídas na lista não responderam a um pedido de comentário. O Flightradar24 disse em um e-mail que nunca ouviu falar da Gravy, mas que exibe anúncios, que “ajudam a manter o Flightradar24 gratuito”.
O Tinder disse em um e-mail que “o Tinder leva a segurança muito a sério. Não temos relacionamento com a Gravy Analytics e não temos evidências de que esses dados foram obtidos do aplicativo Tinder”, mas não respondeu a perguntas sobre anúncios dentro do aplicativo.
O Muslim Pro, um dos aplicativos de oração muçulmana incluídos na lista, disse em um e-mail que não estava ciente da Gravy. “Sim, exibimos anúncios por meio de várias redes de anúncios para apoiar a versão gratuita do aplicativo. No entanto, como mencionado acima, não autorizamos essas redes a coletar dados de localização de nossos usuários”, disse o e-mail. Isso não significa necessariamente que um membro do ecossistema de publicidade não possa extrair tais dados, no entanto. (Em 2020, eu revelei que o Muslim Pro estava vendendo os dados de localização de seus usuários para uma empresa chamada X-Mode, cujos clientes incluíam contratantes militares dos EUA; o Muslim Pro interrompeu a prática após minha reportagem.)
Um porta-voz da Grindr disse à 404 Media em um e-mail que “a Grindr nunca trabalhou com ou forneceu dados à Gravy Analytics. Não compartilhamos dados com agregadores ou corretores de dados e não compartilhamos geolocalização com parceiros de anúncios há muitos anos. A transparência é o núcleo do nosso programa de privacidade, portanto, os terceiros e prestadores de serviços com os quais trabalhamos estão listados aqui em nosso site.” A Grindr foi anteriormente descoberta permitindo que corretores de dados obtivessem a localização de seus usuários.
É importante que os dados pareçam ser obtidos por meio de lances em tempo real, porque isso dita quem é responsável (membros desonestos da indústria de publicidade e os gigantes da tecnologia que facilitam essa indústria), como os usuários podem se proteger (tentando bloquear anúncios) e o fato de que grandes editores de aplicativos podem nem mesmo estar cientes de que os dados de seus usuários estão sendo colhidos e, portanto, podem não saber como impedi-lo. Um desenvolvedor de aplicativos saberá se implementou o código de coleta de dados de localização por conta própria. Pode não saber que alguma empresa, em algum lugar, está ouvindo silenciosamente o processo de publicidade e siphoning dados de seu aplicativo.
Empresas de vigilância podem obter dados de RTB adquirindo empresas de tecnologia de anúncios e se passando por anunciantes em potencial. A empresa de dados de localização operada por espiões não precisa necessariamente colocar um anúncio com sucesso; em vez disso, é capaz de coletar dados sobre dispositivos simplesmente por estar conectada a essa indústria. Os dados de localização, neste caso, também podem incluir o endereço IP de um usuário, que é então geolocalizado para dar sua localização aproximada.
Em janeiro passado, a 404 Media relatou sobre uma empresa de vigilância israelense chamada Patternz, que estava obtendo enormes quantidades de dados de localização por meio do processo de RTB.
Em um vídeo de treinamento exposto, a Patternz mostrou alguns dos aplicativos populares dos quais obteve dados de localização: 9GAG, Kik, aplicativo esportivo FUTBIN, aplicativos de identificação de chamadas como CallApp e Truecaller; e vários jogos de palavras, sudoku e quebra-cabeças de paciência. Todos esses aplicativos também estão nos dados da Gravy. Isso sugere que a Gravy, ou de onde a Gravy obteve esses dados, também os conseguiu interagindo com o sistema de publicidade em vez de por meio de um código de rastreamento de localização incorporado aos aplicativos.
A 404 Media compartilhou alguns dos dados de localização com outro pesquisador de segurança com conhecimento das indústrias de publicidade e dados de localização. “Parece que pelo menos alguns desses dados provavelmente foram obtidos por meio de lances em tempo real relacionados à publicidade”, disse Krzysztof Franaszek, fundador da Adalytics, uma empresa de forense digital, após revisar os dados. Ele apontou alguns dos agentes de usuário no arquivo, que mostram como o dispositivo de um usuário se conectou a um serviço, referenciando “afma-sdk”. Essa é uma string usada pelo SDK (kit de desenvolvimento de software) de anúncios móveis do Google. Em outras palavras, em alguns casos, é a plataforma de publicidade do Google que está entregando os anúncios que eventualmente levam a esse rastreamento por empresas externas e, potencialmente, contratantes do governo.
O Google não respondeu a vários pedidos de comentário para este artigo. Nem a Apple.
Franaszek também diz que “uma quantidade significativa desse conjunto de dados de geolocalização parece ser inferida por meio de buscas de geolocalização de endereço IP, o que significa que o fornecedor ou sua fonte está derivando a geolocalização do usuário verificando seu endereço IP em vez de usar dados GNSS [Sistema Global de Navegação por Satélite]/GPS. Isso sugeriria que os dados não estão sendo obtidos inteiramente de um SDK de dados de localização.”
“O que estamos vendo aqui nesses dados me parece ser uma enorme diversidade de aplicativos”, diz Edwards. “Isso não é o que você vê de uma ingestão de SDK; isso é o que você vê de ingestões em massa de RTB.”
Em dezembro, a Comissão Federal de Comércio baniu outra empresa de dados de localização chamada Mobilewalla de coletar dados de consumidores “de leilões de publicidade online para fins diferentes de participar desses leilões”. Em outras palavras, a agência baniu a Mobilewalla de participar do processo de RTB para construir conjuntos de dados sobre dispositivos das pessoas. A FTC também disse que a Venntel e a Gravy coletaram dados sem obter o consentimento do usuário, ordenou que a empresa deletasse dados de localização históricos e a baniu de vender dados relacionados a áreas sensíveis, como clínicas de saúde e locais de culto, exceto em “circunstâncias limitadas” envolvendo segurança nacional ou aplicação da lei.
A 404 Media verificou os dados hackeados da Gravy de várias maneiras. Alguns arquivos incluem credenciais para as instâncias do Snowflake da Gravy, uma ferramenta de armazenamento de dados. A 404 Media verificou que as URLs nos arquivos hackeados correspondem a instâncias reais do Snowflake. Um arquivo chamado “usuários” contém uma longa lista de empresas. Algumas dessas empresas negaram ter qualquer relacionamento com a Gravy; a Cuebiq, outra empresa de dados de localização mencionada no arquivo, disse à 404 Media que “avaliamos rotineiramente os dados disponíveis no mercado para determinar se são adequados para o nosso negócio. A maioria não passa da fase de avaliação para produção, como foi o caso aqui. A Cuebiq testou uma amostra limitada de dados, que nunca foi disponibilizada aos nossos clientes, e os dados foram excluídos ao final do teste limitado.”
A 404 Media também enviou uma seção dos dados para outro corretor de dados chamado Datonics. “Investigamos a questão descrita em seu e-mail, e os IDs de segmento nesses arquivos são da Gravy, não da Datonics”, disse a empresa em um e-mail.
A Unacast, que se fundiu com a Gravy em 2023, não respondeu a vários pedidos de comentário, tanto sobre o hack quanto se ela ou qualquer um de seus fornecedores derivaram dados de localização do processo de lances em tempo real.