Alat baru mendedahkan bagaimana iklan dalam aplikasi menggunakan pengesanan data rangkaian untuk mengesan lokasi anda

Aplikasi mudah alih, terutamanya yang percuma, sering membuat laluan data yang luas, menghantar maklumat pengguna kepada pihak ketiga yang tidak kelihatan melalui rangkaian pengiklanan-proses yang sebahagian besarnya legap kepada pemilik telefon purata. Sekarang, penyelidik keselamatan Tim Shott menawarkan kaedah bagi individu untuk berpotensi menerangi aktiviti ini, Alat Proksi HTTPS Interaktif Sumber Terbuka Sumber Terbuka , yang membolehkan pengguna menangkap permintaan rangkaian antara telefon dan internet mereka. Melengkapi mitmproxy adalah skrip python (mitm_test.ipynb) yang membantu dalam menghuraikan data yang ditangkap.

Kerja awal menunjukkan penghantaran data yang kerap. Terutama, komponen pengiklanan seperti Iklan Perpaduan diperhatikan menghantar koordinat lokasi dan alamat IP walaupun perkhidmatan lokasi peranti telah dimatikan. Rangkaian iklan Facebook juga diperhatikan menerima data IP tanpa sebarang hubungan pengguna langsung dalam aplikasinya. Perpaduan sendiri Dokumentasi pemaju mengesahkan SDK mengumpul peranti href=”https://docs.unity.com/ads/implementingdataprivacy.html”target=”_ blank”> Mekanisme persetujuan GDPR untuk pengguna di kawasan yang berkenaan. Selepas menangkap lalu lintas, notebook Python membantu menapis banyak permintaan. Walaupun pendekatan separuh manual ini memerlukan usaha pengguna untuk mengkaji hasil yang ditapis, Shott mencadangkan ia menawarkan cara untuk berpotensi mengungkap titik data yang tidak dijangka, seperti kecerahan skrin peranti atau status fon kepala, yang diperhatikan bersama data IP dan lokasi dalam penyelidikan awal. Penyelidik juga menghasilkan

Aliran data dari aplikasi sering melibatkan pelbagai perantara. Maklumat yang dikumpulkan melalui SDK dari platform sampingan (SSP)-perkhidmatan yang membantu penerbit aplikasi menjual ruang iklan, seperti iklan perpaduan-boleh dihantar ke platform permintaan (dsps), seperti bidstream diminta boleh diakses di luar penawar yang menang. Satu pengulas dalam yang diterangkan oleh sumber-sumber seperti Kaspersky . Pengenal pasti seperti IDFA Apple (Pengenalpastian untuk Pengiklan) atau AAID Google (ID Pengiklanan Android)-Kembali ke Maklumat Pengenalpastian Peribadi Dunia Sebenar (PII).

Laporan penyiasatan, seperti 2021 piece by naib/motherboard dataset href=”https://docs.google.com/spreadsheets/d/1gbom_3yo-ofb6yrg_mahrjkgkytnhr2s/Edit?gid=2029445799&ref=timsh.org. Hubungan Maid-to-PII. Keupayaan ini mencabar tanggapan bahawa penjejakan berasaskan pembantu rumah memelihara anonim tidak mahu dikenali. Target=”_ kosong”> Data ACLU untuk Projek Keadilan Juga menunjukkan bahawa industri iklan menggunakan teknik seperti”graf identiti”untuk mengesan pengguna walaupun mereka melumpuhkan atau menetapkan semula pembantu rumah mereka. href=”https://timsh.org/everyone-knows-your-location-part-2-try-it-yourself/”target=”_ blank”> April 2025 posting post . Pengguna digalakkan untuk menggunakan alat yang disediakan untuk menganalisis aplikasi, terutamanya yang berpotensi terlibat oleh situasi analisis kuah (senarai yang diperoleh dari dokumen yang bocor boleh didapati di Borang Google membolehkan para peserta menyerahkan penemuan mereka , menyumbang kepada pangkalan data yang boleh diakses secara umum. Keterangan borang secara jelas memberi amaran kepada pengguna:”Sila periksa semua input anda untuk maklumat peribadi anda. Borang ini ditetapkan dengan cara yang saya kumpulkan apa-apa dari anda (seperti e-mel atau akaun Google atau apa sahaja), tetapi respons anda akan dilihat oleh sesiapa sahaja-jadi sedar!”Penyelidik, yang juga membincangkan topik-topik ini di A sasaran=”_ blank”> Mac 2025 episod podcast”kunci dan kod”malwarebytes , memberi amaran kepada penyumbang kepada butiran peribadi sebelum penyerahan.

Semasa analisis baru-baru ini, Shott juga mencatatkan lalu lintas yang melibatkan titik akhir perkhidmatan lokasi Apple (gs-loc.apple.com) menggunakan buffer protokol (Protobuf), format serasi data biasa, yang mencadangkan jalan untuk penyiasatan masa depan ke atas bagaimana perkhidmatan peringkat platform berinteraksi dengan pengumpulan data aplikasi.