Мобильные игры с десятками миллионов пользователей оказались в центре скандала, связанного с массовым сбором геолокационных данных. Исследователи выяснили, что популярные приложения, среди которых Subway Surfers, Candy Crush и Temple Run, через рекламные сети передают информацию о местоположении пользователей, зачастую без их ведома. Эти данные попадают в распоряжение компании Gravy Analytics, а затем — к её коммерческим партнёрам и государственным структурам.
Хакерский слив внутренних файлов Gravy Analytics подтвердил, что мобильные игры, социальные платформы, приложения для фитнеса, VPN-сервисы и даже офисные программы становятся невольными участниками цепочки передачи данных. Используемая методика не предполагает встроенного механизма отслеживания в самих приложениях, а базируется на функционировании рекламной составляющей. В результате ни пользователи, ни разработчики зачастую не подозревают о том, что их личная информация становится товаром.
Собранные хакерами документы показывают, что среди приложений, через которые собирались данные, фигурируют Tinder, Grindr, MyFitnessPal, приложения для молитв и утилиты для офисной работы. Сбор информации осуществлялся через рекламные сети, которые фиксировали IP-адреса устройств и вычисляли их приблизительное местоположение. В некоторых случаях данные могли поступать через платформу Google Mobile Ads SDK.
Как стало известно, Gravy Analytics через свою дочернюю компанию Venntel предоставляет собранную информацию государственным структурам США, в том числе ФБР и Иммиграционной службе. При этом компания ранее уже подвергалась критике за отсутствие прозрачности в своих методах. Недавно Федеральная торговая комиссия США запретила другой организации, Mobilewalla, использовать информацию с рекламных аукционов в интересах третьих лиц.
Специалисты по кибербезопасности подчёркивают, что подобная практика представляет серьёзную угрозу для конфиденциальности. По их словам, компании могли применять метод Real-Time Bidding (RTB), который позволяет перехватывать данные в момент рекламного аукциона и продавать их без согласия пользователей. Эта схема особенно опасна, так как сами разработчики приложений часто не подозревают, что их платформы используются для слежки.
Ранее в аналогичный скандал попало мусульманское приложение Muslim Pro — выяснилось, что данные его пользователей поступали к военным подрядчикам США. Разработчики заявили, что прекратили подобные практики. В свою очередь, представители Tinder и Grindr категорически отвергли связь с Gravy Analytics.
По мнению специалистов, очередная утечка указывает на необходимость ужесточения норм защиты конфиденциальности. Пользователи, обеспокоенные возможной слежкой, могут пытаться блокировать рекламу, но масштабы проблемы таковы, что полностью избежать утечек крайне сложно.
Ещё по теме: