เครื่องมือใหม่เปิดเผยว่าโฆษณาในแอพใช้การติดตามข้อมูลเครือข่ายเพื่อติดตามตำแหน่งของคุณอย่างไร

แอพมือถือโดยเฉพาะอย่างยิ่งแอพฟรีมักจะสร้างเส้นทางข้อมูลที่กว้างขวางส่งข้อมูลผู้ใช้ไปยังบุคคลที่สามที่มองไม่เห็นผ่านเครือข่ายโฆษณา-กระบวนการส่วนใหญ่ทึบไปยังเจ้าของโทรศัพท์โดยเฉลี่ย ตอนนี้นักวิจัยด้านความปลอดภัย Tim Shott เสนอวิธีการสำหรับบุคคลที่จะส่องสว่างกิจกรรมนี้

บริบท: ความเสี่ยงด้านการวิจัยและอุตสาหกรรมก่อนหน้า

การเปิดตัวสาธารณะนี้เป็นไปตามการสำรวจก่อนหน้านี้ของนักวิจัยในรายละเอียดใน

งานเริ่มต้นนั้นเปิดเผยการส่งข้อมูลบ่อยครั้ง โดยเฉพาะอย่างยิ่งส่วนประกอบการโฆษณาเช่นโฆษณา Unity ถูกสังเกตว่าส่งพิกัดตำแหน่งและที่อยู่ IP แม้ว่าบริการตำแหน่งอุปกรณ์จะถูกสลับ เครือข่ายโฆษณาของ Facebook ได้รับการสังเกตว่าได้รับข้อมูล IP โดยไม่มีการเชื่อมโยงผู้ใช้โดยตรงภายในแอพ UNITY’s เอกสารนักพัฒนาซอฟต์แวร์ยืนยัน SDK รวบรวมอุปกรณ์ และข้อมูลการวินิจฉัย href=”https://docs.unity.com/ads/implementingdataprivacy.html”target=”_ blank”> กลไกการยินยอมของ GDPR สำหรับผู้ใช้ในภูมิภาคที่ใช้งานได้ หลังจากจับปริมาณการใช้งานโน๊ตบุ๊ค Python ช่วยกรองคำขอจำนวนมาก ในขณะที่วิธีการแบบมือด้วยมือนี้ต้องการความพยายามของผู้ใช้ในการตรวจสอบผลลัพธ์ที่ผ่านการกรอง Shott แนะนำว่ามันมีวิธีในการเปิดเผยจุดข้อมูลที่ไม่คาดคิดเช่นความสว่างของหน้าจออุปกรณ์หรือสถานะหูฟังซึ่งสังเกตได้พร้อมกับข้อมูล IP และตำแหน่งในการวิจัยเบื้องต้น นักวิจัยยังผลิต

การไหลของข้อมูลจากแอพมักเกี่ยวข้องกับตัวกลางหลายตัว ข้อมูลที่รวบรวมผ่าน SDK จากแพลตฟอร์มด้านอุปทาน (SSP)-บริการที่ช่วยผู้เผยแพร่แอพขายพื้นที่โฆษณาเช่นโฆษณา Unity-สามารถส่งผ่านไปยังแพลตฟอร์มด้านอุปสงค์ (DSPs) เช่น ไฮไลต์ข้อมูลที่ใช้ร่วมกันในเหล่านี้ คำขอ Bidstream สามารถเข้าถึงได้เกินกว่าผู้ชนะการประมูล ผู้วิจารณ์คนหนึ่งใน อธิบายโดยแหล่งข้อมูลเช่น Kaspersky .

IDFA ของ Apple (ตัวระบุสำหรับผู้โฆษณา) หรือ AAID ของ Google (รหัสโฆษณา Android)-กลับไปที่ข้อมูลที่ระบุตัวตนส่วนตัว (PII)

รายงานการสืบสวนเช่น 2021 ชิ้นโดยรอง/เมนบอร์ด ได้บันทึกว่าแม่บ้านสามารถมีความสัมพันธ์กับชื่อที่อยู่ทางกายภาพหมายเลขโทรศัพท์และอีเมลได้อย่างไร ตลาดข้อมูลบางแห่งเช่น dataRade href=”https://docs.google.com/spreadsheets/d/1gbom_3yo-ofb6yrg_mahrjkgkytnhr2s/edit?gid=2029445799&ref=timsh.org#gid=20294457999 การเชื่อมโยงแบบ Maid-to-Pii ความสามารถนี้ท้าทายความคิดที่ว่าการติดตามแบบแม่บ้านรักษาความไม่เปิดเผยตัวตนของผู้ใช้

การวิเคราะห์จากกลุ่มเช่น โครงการข้อมูลความยุติธรรมของ ACLU ยังชี้ให้เห็นว่าอุตสาหกรรมโฆษณาใช้เทคนิคเช่น”กราฟตัวตน”เพื่อติดตามผู้ใช้แม้ว่าพวกเขาจะปิดการใช้งานหรือรีเซ็ตแม่บ้านของพวกเขา

ความพยายามของชุมชน href=”https://timsh.org/everyone-knows-your-location-part-won-try-it-yourself/”target=”_ blank”> เมษายน 2025 โพสต์ติดตามผล ผู้ใช้จะได้รับการสนับสนุนให้ใช้เครื่องมือที่มีให้ในการวิเคราะห์แอพโดยเฉพาะอย่างยิ่งผู้ที่อาจเกี่ยวข้องกับสถานการณ์การวิเคราะห์น้ำเกรวี่ (รายการที่ได้มาจากเอกสารที่รั่วไหลออกมานั้นมีอยู่ใน A Google Form อนุญาตให้ผู้เข้าร่วมส่งสิ่งที่ค้นพบ คำอธิบายแบบฟอร์มเตือนผู้ใช้อย่างชัดเจน:“ โปรดตรวจสอบข้อมูลทั้งหมดของคุณสำหรับข้อมูลส่วนบุคคลของคุณแบบฟอร์มนี้ถูกตั้งค่าในแบบที่ฉันรวบรวมอะไรเป็นส่วนตัวจากคุณ (เช่นอีเมลหรือบัญชี Google หรืออะไรก็ตาม) แต่การตอบสนองของคุณจะสามารถดูได้โดยใครก็ตาม นักวิจัยที่กล่าวถึงหัวข้อเหล่านี้ใน มีนาคม 2025 ตอนของ Malwarebytes ’”Lock and Code”พอดคาสต์ ผู้มีส่วนร่วมในการลดรายละเอียดส่วนบุคคลก่อนส่ง

ควบคู่ไปกับเครื่องมือวิเคราะห์ที่เก็บข้อมูล GitHub รวมถึงการสร้างกราฟเครือข่าย ในระหว่างการวิเคราะห์เมื่อเร็ว ๆ นี้ Shott ยังสังเกตเห็นการจราจรที่เกี่ยวข้องกับจุดสิ้นสุดของบริการสถานที่ตั้งของ Apple (gs-loc.apple.com) โดยใช้บัฟเฟอร์โปรโตคอล (protobuf) ซึ่งเป็นรูปแบบการทำให้เป็นอนุกรมข้อมูลทั่วไปแนะนำช่องทางสำหรับการตรวจสอบในอนาคต