Οι εφαρμογές για κινητά, ειδικά δωρεάν, δημιουργούν συχνά εκτεταμένα μονοπάτια δεδομένων, μεταδίδοντας πληροφορίες χρήστη σε αόρατα τρίτα μέρη μέσω διαφημιστικών δικτύων-μια διαδικασία που είναι σε μεγάλο βαθμό αδιαφανής στον μέσο ιδιοκτήτη του τηλεφώνου. Τώρα, ο ερευνητής ασφαλείας Tim Shott προσφέρει μια μέθοδο για τα άτομα να φωτίζουν ενδεχομένως αυτή τη δραστηριότητα, απελευθέρωση ενός οδηγού ανοικτής πηγής και συνοδευτικού λογισμικού Συσκευές.
Οι πόροι αποσκοπούν στην ενδυνάμωση των χρηστών να εντοπίζουν πώς οι πληροφορίες όπως οι συντεταγμένες τοποθεσίας ή οι διευθύνσεις IP ενδέχεται να μοιράζονται, συχνά μέσω του σύνθετου δικτύου των διαφημιστικών τεχνολογικών εταίρων που ενσωματώνονται στις εφαρμογές. Target=”_ blank”> Εργαλείο διαδραστικού διαδραστικού https proxy https , το οποίο επιτρέπει στους χρήστες να καταγράφουν τα αιτήματα δικτύου μεταξύ του τηλεφώνου τους και του Διαδικτύου. Το συμπληρωματικό mitmproxy είναι ένα σενάριο Python (mitm_test.ipynb) που βοηθά στην ανάλυση των δεδομένων που έχουν καταγραφεί. Για συγκεκριμένες λέξεις-κλειδιά-όπως”LAT”,”LON”,”IP”ή τα αναγνωριστικά συσκευών-για να σηματοδοτήσετε πιθανές εκθέσεις δεδομένων. Το έργο Το αρχείο readme παρέχει οδηγίες Οι επικοινωνίες HTTPS. Κίνητρο από αναφορές που περιβάλλουν ένα Ιανουάριος 2025 Data Breach που επηρεάζει την τοποθεσία της εταιρείας Gravy aumentt Αντιμετωπίζοντας το ftc action action action data selling το Δεκέμβριο 2024) Το Ketchapp”
ότι η αρχική εργασία αποκάλυψε συχνές μεταδόσεις δεδομένων. Συγκεκριμένα, παρατηρήθηκαν διαφημιστικά εξαρτήματα όπως οι διαφημίσεις ενότητας που στέλνουν συντεταγμένες θέσης και διευθύνσεις IP ακόμη και όταν οι υπηρεσίες τοποθεσίας συσκευής απενεργοποιήθηκαν. Το δίκτυο διαφημίσεων του Facebook παρατηρήθηκε επίσης λήψη δεδομένων IP χωρίς άμεση σύνδεση χρήστη εντός της εφαρμογής. Το Unity είναι το δικό του Degrower, η οποία επιβεβαιώνει ότι η SDK Collects Collects Collects και διαγνωστικές πληροφορίες href=”https://docs.unity.com/ads/implementingdataprivacy.html”target=”_ blank”> Οι μηχανισμοί συγκατάθεσης του GDPR επιτρέπουν στους χρήστες να παρατηρήσουν τέτοιες μεταδόσεις FirSSTHING. Μετά τη λήψη της κυκλοφορίας, το σημειωματάριο Python βοηθά να φιλτράρουν τα πολυάριθμα αιτήματα. Ενώ αυτή η εξαμηνιαία προσέγγιση απαιτεί προσπάθεια χρήστη για να εξεταστεί τα φιλτραρισμένα αποτελέσματα, ο Shott προτείνει ότι προσφέρει έναν τρόπο να αποκαλύψει ενδεχομένως απροσδόκητα σημεία δεδομένων, όπως η φωτεινότητα της οθόνης της συσκευής ή η κατάσταση των ακουστικών, τα οποία παρατηρήθηκαν παράλληλα με τα δεδομένα IP και τοποθεσίας στην αρχική έρευνα. Ο ερευνητής παρήγαγε επίσης ένα ad techChart Ο αγωγός
Η ροή δεδομένων από μια εφαρμογή συχνά περιλαμβάνει πολλαπλούς μεσάζοντες. Οι πληροφορίες που συγκεντρώθηκαν μέσω ενός SDK από μια πλατφόρμα προμήθειας (SSP)-μια υπηρεσία που βοηθά τους εκδότες εφαρμογών που πωλούν διαφημίσεις, όπως οι διαφημίσεις ενότητας-μπορούν να μεταβιβαστούν στις πλατφόρμες της ζήτησης (DSPS), όπως το moloco Αυτές οι πλατφόρμες διευκολύνουν τις δημοπρασίες προσφοράς σε πραγματικό χρόνο (RTB). Δεδομένα που μοιράζονται σε αυτά τα αιτήματα Bidstream μπορούν να είναι προσβάσιμα πέρα από τον νικητή. Ένας σχολιαστής σε ένα Το Bidstream, το οποίο θα ήταν το SSP. href=”https://www.kaspersky.com/blog/gravy-analytics-leak-location-protection/51271/”target=”_ blank”> που περιγράφονται από πηγές όπως το kaspersky . Το IDFA της Apple (αναγνωριστικό για τους διαφημιζόμενους) ή το AAID της Google (Android Advertising ID)-Επιστροφή στο Real World προσωπικά αναγνωρίσιμες πληροφορίες (PII). Target=”_ blank”> 2021 κομμάτι από τον Vice/Motherboard , έχουν τεκμηριώσει πώς οι υπηρέτες μπορούν να συσχετιστούν με ονόματα, φυσικές διευθύνσεις, αριθμούς τηλεφώνου και μηνύματα ηλεκτρονικού ταχυδρομείου. Ορισμένες αγορές δεδομένων, όπως το datarade datasets list από εταιρείες όπως το RedMob (που προηγουμένως σημειώθηκε η προσφορά μεγάλων παγκόσμιων datasets) και των διαύλων agr, href=”https://docs.google.com/spreadsheets/d/1gbom_3yo-ofb6yrg_mahrjkgkytnhr2s/edit?gid=2029445799&ref=timsh.org#gid=2029445799″Target=”Target”. Σύνδεσμος υπηρέτριας προς PII. Αυτή η ικανότητα αμφισβητεί την ιδέα ότι η παρακολούθηση της MAID διατηρεί την ανωνυμία του χρήστη. Το Target=”_ blank”> το έργο δεδομένων για τη δικαιοσύνη επισημαίνει επίσης ότι η βιομηχανία διαφημίσεων χρησιμοποιεί τεχνικές όπως”γραφήματα ταυτότητας”για την παρακολούθηση των χρηστών, ακόμη και αν απενεργοποιήσουν ή επαναφέρουν τις υπηρέτριες τους. href=”https://timsh.org/everyone-knows-your-location-part-2-try-it-yourself/”target=”_ blank”> Απρίλιος 2025 post παρακολούθησης . Οι χρήστες ενθαρρύνονται να χρησιμοποιούν τα παρεχόμενα εργαλεία για την ανάλυση των εφαρμογών, ιδιαίτερα εκείνων που ενδέχεται να εμπλέκονται από την κατάσταση των αναλυτικών στοιχείων Gravy (ένας κατάλογος που προέρχεται από ένα έγγραφο που διαρρέει είναι διαθέσιμο σε Η φόρμα Google επιτρέπει στους συμμετέχοντες να υποβάλλουν τα ευρήματά τους , συμβάλλοντας σε μια δημόσια προσβάσιμη βάση δεδομένων που τεκμηριώνει τις συμπεριφορές ανταλλαγής δεδομένων. Η περιγραφή της φόρμας προειδοποιεί ρητά τους χρήστες:”Παρακαλούμε να ελέγξετε όλες τις εισόδους σας για τα προσωπικά σας στοιχεία. Αυτή η φόρμα έχει οριστεί με τρόπο που δεν συλλέγω τίποτα προσωπικό από εσάς (όπως το ηλεκτρονικό ταχυδρομείο ή ο λογαριασμός Google ή οτιδήποτε άλλο), αλλά η απάντησή σας θα είναι ορατή σχεδόν οποιοσδήποτε-έτσι ώστε να γνωρίζετε! Ο ερευνητής, ο οποίος συζήτησε επίσης αυτά τα θέματα σε ένα Μάρτιος 2025 Επεισόδιο του podcast”Lock and Code”του Malwarebytes , προειδοποιεί τους συνεισφέροντες για την εκπομπή προσωπικών στοιχείων πριν από την υποβολή. Κατά τη διάρκεια της πρόσφατης ανάλυσης, η Shott σημείωσε επίσης την κυκλοφορία που περιλαμβάνει ένα τελικό σημείο υπηρεσίας Apple Location Service (GS-LOC.Apple.com) χρησιμοποιώντας buffer πρωτοκόλλου (Protobuf), μια κοινή μορφή σειριοποίησης δεδομένων, υποδηλώνοντας τους τρόπους για μελλοντικές διερευνήσεις σχετικά με τον τρόπο με τον οποίο οι υπηρεσίες επιπέδου πλατφόρμας αλληλεπιδρούν με τη συλλογή δεδομένων εφαρμογών.