В наше время рекламные объявления и push-уведомления неразрывно связаны почти со всеми смартфонами. Несмотря на то, что мобильная реклама повсеместно критикуется за нарушение конфиденциальности, ее так и не запретили ни в одной стране общепризнано. К тому же, специалисты по кибербезопасности утверждают что она является побочным продуктом определенных форм наблюдения, то есть инструментом, который обеспечивает постоянное наблюдение за пользователем. В ходе последних расследований, проведенных компаниями 404 Media и Mysk, выяснилось, что реклама и уведомления Push стали относительно простым способом для любопытных маркетинговых фирм шпионить за пользователями смартфонов.
Расследование специалистов 404 Media было сосредоточено на платформе под названием Patternz. Хотя мало кто из пользователей смартфонов слышал о её существовании, сообщается, что организации всех мастей использовали эту платформу для генерации пяти миллиардов персонализированных профилей для несанкционированной слежки. По словам генерального директора Patternz Рафи Тона, цель проекта Patternz — анализировать поведение пользователей смартфонов с помощью «более 600 000 приложений», якобы для того, чтобы помочь правительствам отслеживать распространение COVID-19. Однако 404 Media утверждает, что удаленные в спешке маркетинговые материалы предлагали услуги Patternz именно агентствам национальной безопасности. Рафи Тон как-то обмолвился, что Patternz может превратить скромный мобильный телефон в «устройство для слежки».
Механизм работы следующий: популярные приложения, такие как 9gag, Sudoku и Truecaller, отправляют своим пользователям баннеры, видео и аудио-рекламу. Как правило, эти уведомления обычно основаны на данных, связанных с идентификаторами устройств пользователей: GPS-данные, история веб-просмотров и прочая личная информация, которая должна использоваться для таргетированной рекламы. Все эти данные агрегируются платформами торгов в режиме реального времени, позволяющие компаниям покупать маркетинговое пространство: Google, Yahoo, MoPub, PubMatic и другие. Через свое собственное "полностью коммерческое подразделение AdTech" разработчики Patternz получают все данные из этих источников, а затем использует их для создания своей "платформы национальной безопасности", которая предоставляет информацию о местонахождении пользователей смартфонов, их интересах и даже связях с другими пользователями.
По всей видимости, этой тайной структурой является Nuviad, по совместительству рекламная компания, генеральным директором которой также является Тон. После того, как специалисты 404 Media обратились за разъяснениями к некоторым компаниям, занимающимся размещением рекламы в режиме реального времени, несколько из них, в том числе Google и PubMatic, заявили, что приостановили свои отношения с Nuviad, чтобы выяснить, как компания использует данные.
Но это не просто реклама, предлагающая сомнительным организациям беспрепятственный доступ к повседневной жизни людей. Два компании-разработчика приложений для iOS и "случайных исследователей безопасности", известных как Mysk, в четверг опубликовали видео о push-уведомлениях в системе iOS и обозначили их как инструмент слежки. Они объясняют, что хотя система iOS не позволяет приложениям все время работать в фоновом режиме, push-уведомления временно активируют приложения, а затем дают им "ограниченное время на настройку уведомления перед его показом пользователю". После истечения этого короткого промежутка iOS прекращает фоновый процесс.
Mysk сообщил, что разработчики могут легко использовать этот механизм, получая информацию об устройстве, пока их приложения спокойно работают в фоновом режиме. "Они могут узнать время работы системы, локализацию, язык клавиатуры, доступную память, состояние батареи, модель устройства, яркость экрана и многое другое". Большая часть этих данных сохраняется при помощи Google Analytics или Firebase, платформы Google для разработки мобильных и веб-приложений.
В настоящее время пользователи могут лишь отключить push-уведомления, тем самым не допустить сбора подобной информации разработчиками. Но по словам Mysk, уже этой весной Apple начнёт требовать от разработчиков чётко указывать, зачем они используют API, отвечающие за сбор данных. Это позволит Apple фильтровать тех разработчиков, чьи намерения вызывают подозрения.