Wired & 404 Media: 2024年までに何千ものモバイルアプリが位置データを収集し、数千万人のユーザーのプライバシーに影響を与える

Android および iOS 上の何千もの人気モバイルアプリが、前例のない規模で機密の位置データを収集するために悪用された疑いがある。広告エコシステムを通じたこのデータ収集は、ユーザーやアプリ開発者自身の知らないうちに行われる可能性が高いです。

この情報は、位置データ会社であるGravy Analyticsのハッキングされたファイルから得たもので、同社の子会社であるVenntelは世界中の位置データを米国の法執行機関に販売していた。 Wired はこの情報を報道し、404 Media と協力してこの記事を制作しました。

データ侵害により、キャンディークラッシュなどの人気ゲームからTinderやGrindrなどの出会い系アプリに至るまで、膨大なアプリネットワークが露出した。妊娠追跡や宗教的な祈りのアプリなど、デリケートなカテゴリも含まれます。

「商業および政府機関の顧客にデータを販売している最大手データブローカーの1社が、アプリケーション自体にコードを埋め込むのではなく、オンライン広告の『入札ストリーム』からデータを収集していると思われる、初めての公開デモンストレーションがある」と、サイバーセキュリティ会社サイレントプッシュのシニア脅威アナリスト、ザック・エドワーズ氏は404メディアに語った。

このニュースは、企業がアプリ内に広告を掲載するために入札するプロセスであるリアルタイム入札（RTB）の世界に新たな光を当てるものである。しかし、このシステムには危険な副作用があります。データブローカーがプロセスを傍受し、携帯電話ユーザーの位置データを取得する可能性があるのです。

エドワーズ氏はこれを「プライバシーの悪夢」と表現し、「あらゆるデータを使ってやりたい放題する、世界的なミツアナグマのような企業がある」と付け加えた。

データ収集の規模は驚異的です。ハッキングされたGravyデータには、米国、ロシア、ヨーロッパのデバイスからの数千万の携帯電話の座標が含まれていた。影響を受けるアプリのリストは広範囲にわたり、ソーシャル ネットワーク、フィットネス トラッカー、電子メール クライアント、さらにはユーザーがプライバシーを保護するためにダウンロードする VPN アプリなどのカテゴリを網羅しています。

データ侵害には Gravy Analytics が関与しているようだが、Gravy が位置データを自ら収集したのか、それとも別のソースから入手したのかは不明だ。 2024年まで遡るこのデータセットは、位置データ業界の不透明な世界を垣間見る貴重な機会となる。

Gravy Analytics は、さまざまなソースから携帯電話の位置データを集約し、子会社の Venntel を通じて商業組織や政府機関に販売することで、このエコシステムで重要な役割を果たしています。これまでの調査で、ベンテルの顧客には、移民関税執行局（ICE）、税関・国境警備局（CBP）、内国歳入庁（IRS）、連邦捜査局（FBI）、麻薬取締局（DEA）など、複数の米国政府機関が含まれていることが判明している。

このデータ収集の影響は広範囲に及び、深刻なプライバシーの懸念を引き起こし、このデータがユーザーが意図していなかった、または同意していなかった目的に使用される可能性があることを浮き彫りにしています。たとえば、メディアは、「Locate X」と呼ばれるツールがVenntelのデータを使用して州外の中絶クリニックへの訪問者を監視する様子を報じました。

リストに載っているアプリ開発者や企業のほとんどはコメントの要請に応じなかった。しかし、Flightradar24は電子メールで、Gravyについては聞いたことがないとしながらも、広告が「Flightradar24を無料に保つために」表示されていることを認めた。

TinderはGravy Analyticsとの関係を否定したが、Muslim Pro（影響を受けた祈祷アプリの1つ）は、広告ネットワークがユーザーの位置データを収集することを許可していないと主張した。

このデータがリアルタイム入札から得られたものであることが判明したことは特に重要です。それは、広告業界の悪質な行為者と、それを促進するテクノロジー大手に責任を転嫁するものだ。また、多くの大手アプリ発行者はユーザーデータが盗まれていることに気付いていない可能性があり、予防策を講じるのが困難になっていることも示唆している。

デジタルフォレンジック企業Adalyticsの創設者Krzysztof Franaszek氏は、漏洩したデータを検証し、「このデータの少なくとも一部は、広告に関連したリアルタイム入札から得られたものである可能性が高い」と指摘した。同氏は、Google の広告プラットフォームが、潜在的な政府請負業者を含む外部企業によるこの種の追跡を可能にする広告を配信しているという証拠を指摘した。

米国連邦取引委員会は最近、同様の行為に対して措置を講じた。 12月、同局は位置データ会社Mobilewallaに対し、「オンライン広告オークションへの参加以外の目的」で消費者データを収集することを禁止した。 FTCはまた、VenntelとGravy Analyticsに対し、過去の位置情報を削除するよう命じ、限られた状況を除いて、診療所や礼拝所などの機密領域に関連するデータの販売を禁止した。

中国産業情報ステーションより