- Des fichiers issus du piratage de Gravy Analytics révèlent les noms de milliers d’apps et des données de localisation, ce qui renforce la possibilité que des apps populaires aient servi à collecter des données de localisation sensibles via l’écosystème publicitaire, plutôt que par un SDK développeur
- Le principal canal pointé du doigt est le RTB bid stream, le flux d’enchères publicitaires en temps réel : même sans diffuser réellement de publicité, une entreprise connectée peut collecter la position de l’appareil et une localisation basée sur l’adresse IP
- La liste comprend Candy Crush, Tinder, Grindr, MyFitnessPal, Flightradar24, Tumblr, Microsoft 365 et Yahoo Mail, mais aussi des apps de suivi de grossesse et de cycle menstruel, des apps religieuses et des apps VPN
- Gravy vendait des données de localisation à des clients commerciaux et les fournissait aussi à des agences gouvernementales américaines via sa filiale Venntel ; les données de Venntel ont déjà été utilisées dans des outils de surveillance achetés par l’État, comme Locate X
- Même si l’éditeur d’une app n’intègre pas directement de code de collecte de localisation, des données peuvent fuiter pendant le processus d’enchères publicitaires, ce qui élargit le périmètre de protection des utilisateurs de l’app elle-même à la chaîne d’approvisionnement adtech
La fuite Gravy révèle la chaîne d’approvisionnement des données de localisation
- Les fichiers piratés contenaient des milliers d’apps Android et iOS, et certains fichiers associaient à chaque donnée de localisation le nom de l’app concernée
- Les données comprennent des dizaines de millions de coordonnées d’appareils mobiles aux États-Unis, en Russie et en Europe
- Comme le canal de collecte semble être l’écosystème publicitaire plutôt qu’un code intégré par l’éditeur de l’app, les utilisateurs comme les développeurs d’apps pourraient ne pas avoir eu connaissance de cette collecte
- Certaines données de localisation n’ont pas d’horodatage, mais la présence de Call of Duty: Mobile Season 5, sorti en mai 2024, laisse penser qu’il s’agit de données de 2024
- Il n’est pas clair si Gravy a collecté directement les données, si elle les a obtenues auprès d’une autre entreprise, ni quelle société de données de localisation les possédait ou les licenciait au final
Apps incluses et liste publique
- 404 Media a extrait les noms d’apps des fichiers piratés pour établir une liste, publiée intégralement sur Google Sheets
- La liste couvre de nombreuses catégories : jeux, rencontres, santé, transports, productivité, religion, VPN, etc.
- Jeux : Candy Crush, Temple Run, Subway Surfers, Harry Potter: Puzzles & Spells
- Apps de rencontres : Tinder, Grindr
- Apps santé et lifestyle : MyFitnessPal, My Period Calendar & Tracker
- Apps de transport et d’aérien : Moovit, Flightradar24
- Apps sociales et de travail : Tumblr, Yahoo Mail, Microsoft 365
- Catégories sensibles : apps de suivi de grossesse, apps de prière musulmane, apps de Bible chrétienne, plusieurs apps VPN
- Des apps Android comme iOS sont incluses, et les doublons dont les noms diffèrent légèrement ont été conservés afin de faciliter la recherche des apps installées par les utilisateurs
- Plusieurs chercheurs en sécurité ont aussi publié séparément des listes d’apps de tailles différentes
Pourquoi le RTB est considéré comme le canal clé
- Zach Edwards, de Silent Push, estime que les données de Gravy semblent constituer une preuve publique qu’elles ont été obtenues via le flux d’enchères de la publicité en ligne, et non via du code intégré aux apps
- Par le passé, des sociétés de données de localisation payaient les développeurs pour intégrer à leurs apps des blocs de code de collecte de localisation, mais une autre méthode consiste aujourd’hui à récupérer les informations de localisation pendant le processus d’enchères publicitaires dans l’app
- Dans les enchères en temps réel, des entreprises enchérissent pour acheter des emplacements publicitaires dans une app, et des courtiers en données peuvent observer ce processus pour collecter la position d’appareils mobiles
- Des sociétés de surveillance peuvent accéder aux données RTB en rachetant des entreprises adtech ou en se comportant comme des annonceurs potentiels
- Elles n’ont pas besoin de remporter réellement l’enchère ni d’afficher une publicité
- Le simple fait d’être connectées à l’industrie publicitaire peut permettre de collecter des données d’appareils
- Dans ce cas, les données de localisation peuvent inclure l’adresse IP de l’utilisateur, qui peut être convertie en géolocalisation pour obtenir une position approximative
Les indices techniques relevés par les chercheurs
- Krzysztof Franaszek, fondateur d’Adalytics, estime qu’une partie des données a très probablement été obtenue via du RTB lié à la publicité
- Dans les user-agents de certains fichiers figurait la chaîne
afma-sdk, utilisée par le Google Mobile Ads SDK - Cet indice montre que, dans certains cas, la plateforme publicitaire de Google a diffusé la publicité, et que ce flux publicitaire a pu déboucher sur un suivi par des entreprises externes ou par de potentiels contractants gouvernementaux
- Franaszek pense qu’une part importante des données a été déduite non pas à partir du GNSS/GPS, mais via une recherche de géolocalisation basée sur l’adresse IP
- Edwards juge que la très grande diversité des types d’apps correspond davantage au schéma d’une collecte RTB à grande échelle qu’à une collecte fondée sur un SDK
- Google et Apple n’ont pas répondu à plusieurs demandes de commentaire
Les liens entre Gravy, Venntel et les outils de surveillance gouvernementaux
- Gravy est une entreprise qui agrège des données de localisation mobile provenant de plusieurs sources et les vend à des sociétés commerciales
- Via sa filiale Venntel, elle vendait aussi des données de localisation à des agences gouvernementales américaines
- Les clients de Venntel ont notamment compté Immigration and Customs Enforcement, Customs and Border Protection, l’IRS, le FBI et la Drug Enforcement Administration
- Venntel fournit les données de base à Locate X, l’outil de surveillance acheté par les pouvoirs publics auprès de Babel Street
- 404 Media et d’autres médias ont montré l’an dernier que Locate X pouvait être utilisé pour surveiller les personnes se rendant dans des cliniques pratiquant l’avortement hors de leur État
Réactions des entreprises éditrices d’apps
- Flightradar24 a répondu ne jamais avoir entendu parler de Gravy, mais afficher des publicités, qui l’aident à maintenir Flightradar24 gratuit
- Tinder a répondu n’avoir aucune relation avec Gravy Analytics et qu’il n’existait aucune preuve que ces données aient été obtenues depuis l’app Tinder, mais n’a pas répondu aux questions sur les publicités dans l’app
- Muslim Pro a répondu ne pas connaître Gravy et afficher des publicités via plusieurs réseaux publicitaires pour financer la version gratuite, mais ne pas autoriser ces réseaux à collecter les données de localisation des utilisateurs
- Grindr a répondu n’avoir jamais travaillé avec Gravy Analytics ni fourni de données à l’entreprise, ne pas partager de données avec des agrégateurs ou courtiers en données, et ne pas avoir partagé d’informations de localisation avec des partenaires publicitaires depuis plusieurs années
- La plupart des développeurs d’apps et entreprises n’ont pas répondu aux demandes de commentaire
Régulation et vérification des données
- En décembre 2024, la FTC a interdit à Mobilewalla de collecter des données de consommateurs lors d’enchères publicitaires en ligne et de les utiliser à d’autres fins que la participation à ces enchères
- La FTC a déclaré que Venntel et Gravy avaient collecté des données sans le consentement des utilisateurs, et leur a ordonné de supprimer les données de localisation passées
- La vente de données liées à des lieux sensibles, comme des cliniques de santé et des lieux de culte, a aussi été interdite, avec des exceptions limitées liées à la sécurité nationale ou aux forces de l’ordre
- 404 Media a vérifié les données Gravy piratées de plusieurs façons
- Certains fichiers contenaient les identifiants de l’instance Gravy de Snowflake, l’outil de data warehousing
- Le média a vérifié que les URL des fichiers piratés correspondaient à une véritable instance Snowflake
- Le fichier
userscontenait une liste d’entreprises, dont certaines ont nié toute relation avec Gravy
- Cuebiq a répondu procéder régulièrement à des évaluations de données de marché, mais que ce cas correspondait à un test sur un échantillon limité de données, non fourni à des clients et supprimé après la fin du test
- Datonics a répondu que les segment IDs présents dans les fichiers n’étaient pas ceux de Datonics, mais de Gravy
- Unacast, qui a fusionné avec Gravy en 2023, n’a pas répondu aux multiples demandes de commentaire sur le piratage et sur l’éventuelle dérivation de données de localisation à partir du RTB
1 commentaires
Commentaires Hacker News
Chaque fois qu’une petite bannière publicitaire s’affiche en bas d’une appli, une enchère instantanée a lieu pour cet emplacement publicitaire.
Quand Google transmet des informations aux enchérisseurs, ceux-ci calculent combien ils sont prêts à payer pour afficher cette publicité.
Autrement dit, même les perdants de l’enchère reçoivent la cascade de données, et il existe dès le départ des entreprises dont le but est de perdre les enchères tout en collectant des données.
Il n’est donc pas surprenant qu’In-Q-Tel, la branche d’investissement non clandestine de la CIA, ait investi dans ce type d’analyse, c’est-à-dire dans des sociétés de surveillance numérique.
https://www.ftc.gov/news-events/news/press-releases/2024/12/...
La plainte de la FTC affirme que, lorsque Mobilewalla enchérissait sur des emplacements publicitaires de clients sur des places de marché d’enchères publicitaires en temps réel, l’entreprise collectait et conservait abusivement les informations contenues dans les demandes d’enchères, même lorsqu’elle ne remportait pas l’enchère.
De janvier 2018 à juin 2020, elle aurait collecté plus de 500 millions d’identifiants publicitaires uniques de consommateurs associés à des données de localisation précises ; les données de localisation brutes n’étaient pas anonymisées, et il n’existait pas non plus de politique de suppression des lieux sensibles, ce qui permettait d’identifier des appareils individuels et les lieux visités.
Elle aurait vendu l’accès à ces données brutes à des tiers, notamment des annonceurs, des courtiers en données et des sociétés d’analyse.
En participant au header bidding, on obtient des données similaires à celles qu’on pourrait voir en exploitant un site web mobile populaire.
Qu’In-Q-Tel investisse dans une bonne activité d’arbitrage comme une place de marché n’a rien de surprenant ; ce sont simplement de bons investisseurs qui font de bons investissements, et cela ne ressemble pas à une stratégie cynique de surveillance.
Mais Google ne les sanctionne pas, parce que c’est une façon de vendre des données utilisateur sans vendre explicitement des données utilisateur.
Naïvement, je pensais que Google gérait ces enchères en interne.
Ce que l’article n’aborde pas, c’est la manière dont la localisation est collectée.
Qualifier la géolocalisation par IP de collecte de données de localisation est un peu exagéré : elle est généralement moins précise qu’une géolocalisation directe, au point qu’il n’est pas nécessaire de passer par un courtier pour l’obtenir.
Or, sur Android, ACCESS_COARSE_LOCATION comme ACCESS_FINE_LOCATION nécessitent toutes deux une boîte de dialogue d’autorisation ; je me demande donc comment cela fonctionne exactement.
On y lit : « Une part substantielle de ce jeu de données de géolocalisation semble être inférée en recherchant la géolocalisation d’adresses IP. Autrement dit, cela signifie que les fournisseurs, ou leurs sources, déterminent la géolocalisation en observant l’adresse IP de l’utilisateur, plutôt qu’à partir de données GNSS/GPS. Cela suggère que les données ne proviennent pas exclusivement de SDK de localisation. »
Un jeu ne devrait pas chercher à me localiser du tout, et il ne devrait pas être excusé au motif que la précision est techniquement faible.
https://developers.google.com/android/reference/com/google/a...
Pour les autres applis, je ne sais pas trop.
comm -12 <(cat gravy_app_list\ -\ count.csv| uvx --from csvkit csvcut -c 2 | rg '\.' | sort) <(adb shell pm list packages -3 | cut -f 2 -d ":" | sort)Le CSV peut être récupéré depuis https://docs.google.com/spreadsheets/d/1Ukgd0gIWd9gpV6bOx2pc... pour vérifier s’il existe des correspondances parmi les apps de votre téléphone
En regardant ma liste, deux questions me viennent : quelle est une bonne alternative à PodcastAddict, est-ce que la version payante arrête non seulement l’affichage des pubs à l’écran mais aussi tout le trafic publicitaire, et comment MS Outlook s’est-il retrouvé dans cette liste au départ ?
PodcastAddict ne demande même pas l’autorisation de localisation[1]
Alors comment pourrait-il accéder à la localisation ? En lisant l’article attentivement, il précise que la localisation ne vient peut-être pas des apps Gravy
Au mieux, il s’agit d’obtenir une localisation via l’IP, et c’est une information que vous exposez de toute façon à tous les sites web que vous visitez
On y lit : « Cet ensemble de données semble provenir du piratage de Gravy, mais il n’est pas clair si Gravy a collecté directement ces données de localisation, s’il les a obtenues d’une autre entreprise, ni quelle société de données de localisation les possédait en dernier ressort ou était autorisée à les utiliser »
[1] https://play.google.com/store/apps/details?id=com.bambuna.po...
« Bonjour, je ne comprends pas votre e-mail. Bien sûr, toutes les apps de podcast se connectent à des contenus tiers pour le streaming ; les plateformes d’hébergement, services de suivi et services publicitaires utilisés par les podcasteurs peuvent donc accéder à l’adresse IP de l’utilisateur.
Dire qu’une app de podcast divulgue l’adresse IP est aussi stupide que de dire qu’un navigateur web le fait. Ce n’est qu’un outil qui se connecte à des contenus tiers et, sauf si vous utilisez un VPN, le serveur auquel vous vous connectez peut toujours accéder à votre adresse IP.
L’app ne dispose pas de la localisation de l’utilisateur. Comme vous pouvez le voir, elle ne demande pas l’autorisation de localisation ; elle n’a donc aucune information de localisation à partager. En revanche, l’IP est évidemment exposée à tout serveur auquel elle se connecte.
Xavier »
Comme c’est configurable, j’utilise NextDNS [1], et le DNS d’AdGuard [2] devrait probablement bien fonctionner aussi
grep -f gravy_app_list\ -\ count.csv <(adb shell pm list packages -3 | cut -d":" -f2)La publicité est un virus qui infecte tout l’écosystème
Ici, cela ressemble plutôt à une intoxication au plomb
Elle n’a rien de fondamentalement mauvais, mais les gens qui font de mauvaises choses l’adorent
Article lié : la FTC prend des mesures contre Gravy Analytics et Venntel pour la vente de données de localisation, 194 points · 158 commentaires
https://news.ycombinator.com/item?id=42309429
https://web.archive.org/web/20250109211053/https://www.wired...
https://archive.ph/Danyk
https://docs.google.com/spreadsheets/d/1Ukgd0gIWd9gpV6bOx2pc...
https://gist.github.com/fs0c131y/f498b21cba9ee23956fc7d76292...
Je me demande si je comprends bien que cela signifie que ces apps peuvent contourner les autorisations du système d’exploitation concernant l’accès ou non aux données de localisation
À ma connaissance, il n’est pas très difficile de créer une tâche en arrière-plan qui envoie périodiquement des requêtes réseau
Il suffit que la tâche en arrière-plan envoie une requête HTTP à un serveur de régie publicitaire avec un identifiant unique, et que le serveur traite la géolocalisation de l’IP
Sur beaucoup de réseaux mobiles, la précision ne serait pas très élevée, mais chez certains FAI les IP sont segmentées jusqu’à l’échelle du quartier, donc en Wi‑Fi cela peut devenir assez fin
Ayant anticipé cette possibilité, j’ai désactivé le rafraîchissement en arrière-plan pour presque toutes les apps, sans dégradation de l’expérience
Sur iOS, j’utilise 1Blocker, qui crée un faux VPN local sur l’appareil pour bloquer les requêtes IP des traqueurs, et j’ai constaté qu’en désactivant le rafraîchissement en arrière-plan, le nombre de requêtes bloquées baissait fortement
Certaines étaient des diagnostics inoffensifs, comme Sentry, mais la grande majorité ne l’étaient pas
J’aimerais qu’une personne familière avec le développement iOS explique si c’est réellement possible, compte tenu des limites d’exécution des tâches en arrière-plan
Il est probable qu’ils utilisent la localisation si l’autorisation est activée, et sinon qu’ils se rabattent sur la géolocalisation par IP
Les enchères en temps réel sont un cauchemar du point de vue de la vie privée : elles diffusent en temps réel le comportement de l’utilisateur à tous les fournisseurs de publicité, en comptant sur une promesse de petit doigt du type « on ne va pas en abuser »
Là où il y a des données de localisation précise, c’est que l’utilisateur a accordé l’autorisation
Je ne sais pas pourquoi Candy Crush devrait demander une localisation précise, mais je suis assez sûr que CC ne demande pas cette autorisation
Personnellement, j’attends que Tinder se prenne un coup de massue de la part des autorités
Le pouvoir monopolistique qu’ils ont acquis après avoir regroupé plusieurs apps de rencontre est vraiment délirant
Tout le monde se plaint des externalités sociales nées de l’essor d’Internet, mais il est difficile de soutenir qu’à long terme, il existe beaucoup de variables plus importantes que celle-ci pour la réussite d’un pays
Je ne l’ai jamais utilisé, mais je l’imagine grosso modo comme une sorte de Facebook pour le sexe
Est-ce pire que les services de Meta ?