هزاران اپ موبایل در اندروید و iOS موقعیت مکانی ده‌ها میلیون کاربر را فاش کرده‌اند

اسناد تازه‌ای نشان می‌دهند هزاران اپلیکیشن محبوب در پلتفرم‌های اندروید و iOS در مقیاسی بی‌سابقه بدون اطلاع کاربران داده‌های حساس موقعیت مکانی را جمع‌آوری می‌کنند. این جمع‌آوری داده‌ها از طریق اکوسیستم تبلیغاتی انجام می‌شود و کاربران، حتی توسعه‌دهندگان خود این اپلیکیشن‌ها نیز از آن بی‌خبرند.

به گزارش نشریه Wired، این اطلاعات از فایل‌های هک‌شده متعلق به Gravy Analytics که شرکت تحلیل داده‌های موقعیت مکانی است، به‌ دست‌ آمده. Venntel به‌عنوان یکی از زیرمجموعه‌های این شرکت پیش‌ازاین نیز به فروش داده‌های موقعیت مکانی کاربران به نهادهای مجری قانون آمریکا متهم شده بود.

اپلیکیشن‌ها بدون اطلاع کاربران اقدام به جمع‌آوری موقعیت مکانی آنها می‌کنند

این مشکل تعداد بسیار زیادی از اپلیکیشن‌‎های محبوب ازجمله بازی Candy Crush، اپ‌های تیندر و Grindr را هدف قرار داده است. همچنین این نقص امنیتی شامل انواع حساسی از اپلیکیشن‌ها مانند اپ‌های ردیابی بارداری یا برنامه‌های مذهبی نیز می‌شود.

مقیاس داده‌های جمع‌آوری‌شده بسیار قابل‌توجه است. داده‌های هک‌شده از Gravy شامل ده‌ها میلیون مختصات تلفن همراه از دستگاه‌هایی در ایالات متحده، روسیه و اروپا می‌شود. همچنین دسته‌بندی اپ‌های آسیب‌دیده طیف گسترده‌ای از اپلیکیشن‌ها ازجمله شبکه‌های اجتماعی، ردیاب‌های تناسب‌اندام، کلاینت‌های ایمیل و حتی برنامه‌های VPN را پوشش می‌دهد.

«زک ادواردز»، تحلیلگر ارشد امنیتی شرکت Silent Push، می‌گوید اولین‌ بار است که به‌ نظر می‌رسد مدارک نشان می‌دهند یکی از بزرگ‌ترین دلالان داده که با مشتریان تجاری و دولتی معامله می‌کند، به‌جای استفاده از اطلاعات کد تعبیه‌شده در خود برنامه‌ها، داده‌هایش را از جریان داده‌های تبلیغات آنلاین به‌ دست می‌آورد.

این افشاگری اطلاعات بیشتری درباره دنیای مزایده‌های آنی (RTB) برای نمایش تبلیغات درون اپلیکیشن‌ها در دسترس ما قرار می‌دهد. به نظر می‌رسد از نکات منفی این فرایند این است که کارگزاران داده می‌توانند این فرایند را رهگیری و داده‌های موقعیت مکانی کاربران را جمع‌آوری کنند.

زک ادواردز این موضوع را کابوسی برای حریم خصوصی توصیف کرده و می‌گوید شرکت‌هایی وجود دارند که داده‌های کاربران را جمع‌ می‌کنند و با آنها هر کاری بخواهند انجام می‌دهند.

این گزارش را Wired با همکاری 404 Media منتشر کرده است. اگرچه داده‌ها ظاهراً پای Gravy Analytics را وسط می‌کشد، مشخص نیست Gravy خودش این داده‌های موقعیتی را گردآوری کرده یا آنها را از منبع دیگری به‌ دست آورده است. این پایگاه داده که مربوط به سال 2024 است، نمایی کمیاب از صنعت مبهم پردازش داده‌های موقعیت کاربران جهانی را نشان می‌دهد.