2 puan yazan GN⁺ 2025-01-11 | 1 yorum | WhatsApp'ta paylaş
  • Gravy Analytics hack dosyalarında binlerce uygulama adı ve konum verisi ortaya çıktı; popüler uygulamaların, geliştirici SDK’ları üzerinden değil reklam ekosistemi üzerinden hassas konum toplamaya kullanılmış olma ihtimali güçlendi
  • Başlıca yol olarak gerçek zamanlı reklam açık artırması olan RTB bid stream işaret ediliyor; bağlantılı şirketler, reklamı fiilen yayınlamasalar bile cihaz konumu ve IP tabanlı konum toplayabiliyor
  • Listede Candy Crush, Tinder, Grindr, MyFitnessPal, Flightradar24, Tumblr, Microsoft 365, Yahoo Mail’in yanı sıra hamilelik ve regl takip uygulamaları, dini uygulamalar ve VPN uygulamaları da yer alıyor
  • Gravy, konum verilerini ticari müşterilere satıyor ve bağlı kuruluşu Venntel üzerinden ABD devlet kurumlarına da sağlıyordu; Venntel verileri daha önce Locate X gibi devlet tarafından satın alınan gözetim araçlarında da kullanılmıştı
  • Uygulama geliştiricisi doğrudan konum toplama kodu eklemese bile reklam açık artırması sürecinde veri dışarı sızabildiğinden, kullanıcı korumasının odağı uygulamanın kendisinden reklam teknolojisi tedarik zincirine genişliyor

Gravy hack dosyalarının ortaya çıkardığı konum verisi tedarik zinciri

  • Hack dosyalarında binlerce Android ve iOS uygulaması yer aldı; bazı dosyalar her konum verisinin yanında uygulama adını da kaydetmişti
  • Veriler, ABD, Rusya ve Avrupa’daki mobil cihazlara ait on milyonlarca koordinat içeriyor
  • Toplama yolu, uygulama üreticisinin eklediği koddan ziyade reklam ekosistemi gibi göründüğü için yalnızca kullanıcılar değil, uygulama geliştiricileri de bu toplamadan haberdar olmayabilir
  • Bazı konum verilerinde zaman damgası yok; ancak listede Mayıs 2024’te yayımlanan Call of Duty: Mobile Season 5 bulunduğundan verilerin 2024’e ait olduğuna dair bir ipucu var
  • Gravy’nin verileri doğrudan mı topladığı, başka şirketlerden mi temin ettiği, nihai olarak hangi konum verisi şirketinin sahip olduğu ya da lisansladığı net değil

Dahil edilen uygulamalar ve yayımlanan liste

  • 404 Media, hack dosyalarından uygulama adlarını çıkararak bir liste oluşturdu ve tam listeyi Google Sheets olarak yayımladı
  • Uygulama listesi oyun, flört, sağlık, ulaşım, iş, din, VPN gibi pek çok kategoriye yayılıyor
    • Oyunlar: Candy Crush, Temple Run, Subway Surfers, Harry Potter: Puzzles & Spells
    • Flört uygulamaları: Tinder, Grindr
    • Sağlık ve yaşam uygulamaları: MyFitnessPal, My Period Calendar & Tracker
    • Ulaşım ve havacılık uygulamaları: Moovit, Flightradar24
    • Sosyal ve iş uygulamaları: Tumblr, Yahoo Mail, Microsoft 365
    • Hassas kategori uygulamaları: hamilelik takip uygulamaları, Müslüman namaz uygulamaları, Hristiyan İncil uygulamaları, çeşitli VPN uygulamaları
  • Hem Android hem iOS uygulamaları dahil edildi; kullanıcıların yüklü uygulamaları aramasını kolaylaştırmak için adları biraz farklı olan yinelenen uygulamalar da korundu
  • Birden fazla güvenlik araştırmacısı da farklı boyutlarda uygulama listelerini ayrı olarak yayımladı

RTB’nin ana yol olarak işaret edilmesinin nedeni

  • Silent Push’tan Zach Edwards, Gravy verilerinin uygulama içine gömülü koddan değil, çevrimiçi reklam teklif akışından temin edildiğine dair kamuya açık bir kanıt gibi göründüğünü değerlendirdi
  • Geçmişte konum verisi şirketleri, uygulama geliştiricilerine ödeme yaparak konum toplama kod paketlerini uygulamalara koyduruyordu; ancak bugün uygulama içi reklam teklif sürecinden konum bilgisi alma yöntemi de kullanılıyor
  • Gerçek zamanlı teklif vermede şirketler, uygulama içindeki reklam alanlarını satın almak için teklif verir; veri brokerları da bu süreci izleyerek mobil cihaz konumlarını toplayabilir
  • Gözetim şirketleri, reklam teknolojisi şirketlerini satın alarak ya da potansiyel reklamveren gibi davranarak RTB verilerine erişebilir
    • Reklamı gerçekten kazanmak veya göstermek gerekmez
    • Reklam sektörüne bağlanmak, cihaz verilerini toplamak için yeterli olabilir
  • Bu durumda konum verileri kullanıcı IP adresini içerebilir ve IP coğrafi konuma dönüştürülerek yaklaşık konum elde edilebilir

Araştırmacıların gördüğü teknik ipuçları

  • Adalytics kurucusu Krzysztof Franaszek, bazı verilerin reklamla ilişkili RTB üzerinden temin edilmiş olma ihtimalinin yüksek olduğunu değerlendirdi
  • Bazı dosyaların user-agent bilgilerinde afma-sdk dizgesi vardı; bu, Google Mobile Ads SDK içinde kullanılan bir dizgedir
  • Bu ipucu, bazı vakalarda Google reklam platformunun reklamı ilettiğini ve bu reklam akışının dış şirketler ya da potansiyel devlet yüklenicileri tarafından izlemeye dönüşmüş olabileceğini gösteriyor
  • Franaszek, verilerin önemli bir bölümünün GNSS/GPS’ten değil, IP adresi tabanlı coğrafi konum sorgusundan çıkarıldığı görüşünde
  • Edwards, uygulama türlerinin çok çeşitli olmasının SDK tabanlı toplamadan çok kitlesel RTB toplamalarında görülen desene yakın olduğunu düşünüyor
  • Google ve Apple, birden fazla yorum talebine yanıt vermedi

Gravy, Venntel ve devlet gözetim araçları bağlantısı

  • Gravy, çeşitli kaynaklardan mobil konum verisi toplayıp ticari şirketlere satan bir şirkettir
  • Bağlı kuruluşu Venntel üzerinden ABD devlet kurumlarına da konum verisi satıyordu
  • Venntel müşterileri arasında Immigration and Customs Enforcement, Customs and Border Protection, IRS, FBI ve Drug Enforcement Administration yer almıştı
  • Venntel, Babel Street’in devlet tarafından satın alınan gözetim aracı Locate X için temel verileri sağlar
  • 404 Media ve diğer medya kuruluşları, Locate X’in eyalet dışındaki kürtaj kliniklerinin ziyaretçilerini izlemek için kullanılabileceğini önceki yıl göstermişti

Uygulama şirketlerinin tepkileri

  • Flightradar24, Gravy’yi hiç duymadığını ancak reklam gösterdiğini ve reklamların Flightradar24’ün ücretsiz kalmasına yardımcı olduğunu söyledi
  • Tinder, Gravy Analytics ile ilişkisi olmadığını ve söz konusu verilerin Tinder uygulamasından elde edildiğine dair kanıt bulunmadığını söyledi; ancak uygulama içi reklamlara ilişkin soruya yanıt vermedi
  • Muslim Pro, Gravy’yi bilmediğini ve ücretsiz sürümü desteklemek için birden fazla reklam ağı üzerinden reklam gösterdiğini, ancak bu ağların kullanıcı konum verilerini toplamasına izin vermediğini söyledi
  • Grindr, Gravy Analytics ile hiç çalışmadığını ve veri sağlamadığını; verilerini veri toplayıcıları veya brokerlarla paylaşmadığını ve yıllardır reklam ortaklarıyla konum bilgisi paylaşmadığını söyledi
  • Uygulama geliştiricilerinin ve şirketlerin çoğu yorum taleplerine yanıt vermedi

Düzenleme ve veri doğrulama

  • Aralık 2024’te FTC, Mobilewalla’nın çevrimiçi reklam açık artırmalarından tüketici verisi toplayıp bunu açık artırmaya katılım dışındaki amaçlarla kullanmasını yasakladı
  • FTC, Venntel ve Gravy’nin kullanıcı onayı olmadan veri topladığını belirtti ve geçmiş konum verilerinin silinmesini emretti
  • Sağlık klinikleri ve ibadet yerleri gibi hassas bölgelerle ilgili veri satışı da yasaklandı; ulusal güvenlik veya kolluk kuvvetleriyle ilgili sınırlı istisnalar ise devam ediyor
  • 404 Media, hacklenen Gravy verilerini çeşitli yöntemlerle doğruladı
    • Bazı dosyalar, veri ambarı aracı Snowflake’teki Gravy instance’ına ait kimlik bilgilerini içeriyordu
    • Hack dosyalarındaki URL’lerin gerçek Snowflake instance’larıyla eşleşip eşleşmediği kontrol edildi
    • users dosyasında şirket listesi vardı ve bazı şirketler Gravy ile ilişkisi olduğunu reddetti
  • Cuebiq, pazar verisi değerlendirmelerini düzenli yaptığını; ancak bu vakanın sınırlı bir veri örneği testi olduğunu, müşterilere sunulmadığını ve test bittikten sonra silindiğini söyledi
  • Datonics, dosyadaki segment ID’lerinin Datonics’e değil Gravy’ye ait olduğunu söyledi
  • 2023’te Gravy ile birleşen Unacast, hack ve RTB tabanlı konum verisi türetimi hakkında yapılan birden fazla yorum talebine yanıt vermedi

1 yorum

 
GN⁺ 2025-01-11
Hacker News görüşleri
  • Bir uygulamanın alt kısmında küçük bir banner reklam gördüğünüz her seferinde, o reklam alanı için anlık bir açık artırma yapılır.
    Google, teklif verenlere bilgi aktarır; teklif verenler de o reklamı göstermek için ne kadar ödeyeceklerini hesaplar.
    Yani açık artırmayı kaybeden taraf da veri şelalesini alır; hatta en başından açık artırmayı kaybedip veri toplama amacıyla var olan şirketler vardır.
    Bu yüzden CIA'in gizli olmayan yatırım kolu In-Q-Tel'in bu tür analizlere, yani dijital gözetim şirketlerine yatırım yapmış olması şaşırtıcı değil.

    • Bu bağlantı, açık artırmayı kazanmasanız bile veri alındığını açıkça söylüyor.
      https://www.ftc.gov/news-events/news/press-releases/2024/12/...
      FTC'nin şikâyetine göre Mobilewalla, gerçek zamanlı reklam teklif verme borsalarında müşterilerin reklam alanları için teklif verirken, ihaleyi kazanmadığı durumlarda bile teklif isteklerindeki bilgileri haksız biçimde topladı ve sakladı.
      Ocak 2018'den Haziran 2020'ye kadar 500 milyondan fazla benzersiz tüketici reklam tanımlayıcısını hassas konum verileriyle birlikte topladı; ham konum verileri anonimleştirilmemişti ve hassas konumları kaldırmaya yönelik bir politikası da yoktu, bu nedenle bireysel cihazlar ve ziyaret edilen yerler tespit edilebiliyordu.
      Bu ham verilere erişim hakkını reklamverenler, veri aracıları ve analiz şirketleri gibi üçüncü taraflara sattığı söyleniyor.
    • Veriyi gören reklam müşterisi değil, az sayıda borsa.
      Header bidding'e katılırsanız popüler bir mobil web sitesi işletirken görebileceğinize benzer veriler elde edersiniz.
      In-Q-Tel'in borsa gibi iyi bir arbitraj işine yatırım yapması şaşırtıcı değil; iyi yatırımcıların iyi yatırımlar yapmasından ibaret, sinik bir gözetim stratejisi gibi görünmüyor.
    • “Amacı açık artırmayı kaybetmek ama veri toplamak olan şirketler” Google şartlarının ihlalidir.
      Ancak Google bunu denetlemiyor; çünkü bu, kullanıcı verilerini açıkça satmadan kullanıcı verilerini satmanın bir yolu.
    • Böyle bir veri şelalesine nereden başvurulabileceğini merak ediyorum.
      Safça, Google'ın bu teklifleri kendi içinde işlediğini sanıyordum.
    • Bunun Avrupa'da yasal olup olmadığını, yaygın bir uygulama olup olmadığını merak ediyorum.
  • Makalenin ele almadığı kısım, konumun nasıl toplandığı.
    IP coğrafi konumunu konum verisi toplama diye adlandırmak biraz zorlama; çünkü genellikle doğrudan coğrafi konum almaktan daha az doğrudur, bu yüzden bir aracıdan almaya gerek yoktur.
    Ama Android'de hem ACCESS_COARSE_LOCATION hem de ACCESS_FINE_LOCATION izin iletişim kutusu gerektirdiğinden, bunun tam olarak nasıl çalıştığını merak ediyorum.

    • En azından bir kısmı, belki de çoğunluğu, reklam teklif verme sürecinde kullanılan IP adreslerinden türetilmiş gibi görünüyor.
      “Bu coğrafi konum veri kümesinin önemli bir bölümünün IP adreslerinin coğrafi konuma bakılmasıyla çıkarıldığı görülüyor. Yani tedarikçi veya kaynağı, GNSS/GPS verisi yerine kullanıcının IP adresini kontrol ederek coğrafi konumu türetiyor. Bu da verilerin tamamen konum verisi SDK'sından gelmediğini gösteriyor” şeklinde bir ifade var.
    • Bir oyunun kullandığı tüm IP'leri izleyip bununla konum takibi yapmaya çalışmasını sorun etmek abartı sayılmaz.
      Bir oyun konumumu hiçbir şekilde takip etmeye çalışmamalı ve teknik olarak doğruluğun düşük olması ona mazeret olmamalı.
    • Bu tür reklam alanları, Google Android'in varsayılan sistem uygulaması olan GMS hizmetlerini kullanır; bu uygulama cihazda konum dahil neredeyse tüm erişim izinlerine sahiptir.
      https://developers.google.com/android/reference/com/google/a...
    • Tinder konum tabanlı bir hizmet olduğu için muhtemelen bunun üzerinden topluyor olabilir.
      Diğer uygulamalardan pek emin değilim.
  • comm -12 <(cat gravy_app_list\ -\ count.csv| uvx --from csvkit csvcut -c 2 | rg '\.' | sort) <(adb shell pm list packages -3 | cut -f 2 -d ":" | sort)
    CSV’yi https://docs.google.com/spreadsheets/d/1Ukgd0gIWd9gpV6bOx2pc... adresinden indirip telefondaki uygulamalar arasında eşleşme olup olmadığını kontrol edebilirsiniz
    Kendi listeme bakınca iki şey merak ettim: PodcastAddict’e alternatif uygulama olarak ne iyi olur; ücretli sürümde yalnızca ekrandaki reklam gösterimi değil, tüm reklam trafiği de duruyor mu; bir de MS Outlook bu listeye en başta nasıl girdi?

    • AntennaPod
    • Bu liste şüpheli
      PodcastAddict konum izni bile istemiyor[1]
      O halde konuma nasıl erişebilir? Makaleyi dikkatli okuyunca konumun Gravy uygulamalarından gelmemiş olabileceğine dair bir not düşülmüş
      En iyi ihtimalle IP konumu elde edilebilir; bu da zaten ziyaret ettiğiniz her web sitesine gönderdiğiniz bir bilgi
      Şöyle deniyor: “Bu veri kümesi Gravy’nin hack’lenmesinden gelmiş gibi görünse de, Gravy’nin bu konum verilerini doğrudan toplayıp toplamadığı, başka bir şirketten alıp almadığı ya da hangi konum verisi şirketinin nihai olarak bunlara sahip olduğu veya kullanım lisansı aldığı belirsiz”
      [1] https://play.google.com/store/apps/details?id=com.bambuna.po...
    • Podcast Addict geliştiricisine makaleyle birlikte sordum; yanıtı aynen şöyleydi
      “Merhaba, e-postanın neyle ilgili olduğunu anlamadım. Elbette tüm podcast uygulamaları, yayın akışı için üçüncü taraf içeriklere bağlanır; bu yüzden podcast yayıncılarının kullandığı barındırma platformları, takip hizmetleri ve reklam hizmetleri kullanıcının IP adresine erişebilir.
      Bir podcast uygulamasının IP adresini sızdırdığını söylemek, bir web tarayıcısının bunu yaptığını söylemek kadar saçma. Bu yalnızca üçüncü taraf içeriğe bağlanan bir araçtır ve VPN kullanmadığınız sürece bağlandığınız sunucu her zaman IP adresine erişebilir.
      Uygulama kullanıcının konumuna sahip değildir. Gördüğünüz gibi konum izni istemiyor; dolayısıyla uygulamanın paylaşabileceği bir konum bilgisi yok. Ancak bağlandığınız herhangi bir sunucuya IP’niz doğal olarak görünür.
      Xavier”
    • Reklam sunucularını DNS düzeyinde engellemek daha kolay
      Yapılandırılabildiği için NextDNS [1] kullanıyorum; AdGuard [2] DNS de muhtemelen iyi çalışır
      1. https://nextdns.io/
      2. https://adguard-dns.io/en/welcome.html
    • Bağımlılıkları azalttığım yöntem şu: grep -f gravy_app_list\ -\ count.csv <(adb shell pm list packages -3 | cut -d":" -f2)
  • Reklamlar, tüm ekosistemleri enfekte eden bir virüstür

    • Virüslerle ilgili hâlâ çözülmemiş pek çok bilmece var; işleyen ekosistemler için sandığımızdan daha önemli olabilirler ve yalnızca virüslerin yapabildiği faydalı numaralar da var
      Bu daha çok kurşun zehirlenmesine benziyor
    • Reklamlar, zararlı şeyleri yaymak için ideal bir taşıyıcı vektör gibi
      Özünde yanlış bir şey yok, ama kötü işler yapanlar buna fazlasıyla bayılıyor
  • İlgili yazı: FTC, konum verisi satan Gravy Analytics ve Venntel’e karşı işlem yaptı, 194 puan·158 yorum
    https://news.ycombinator.com/item?id=42309429

  • https://web.archive.org/web/20250109211053/https://www.wired...
    https://archive.ph/Danyk

  • Bu uygulamaların konum verisi izni için işletim sistemi izinlerini aşabildiği anlamına mı geliyor, doğru mu anlıyorum merak ediyorum

    • iOS’ta uygulamaların Arka Planda Uygulama Yenileme özelliğini kötüye kullanıp kullanmadığını merak ediyorum
      Anladığım kadarıyla düzenli aralıklarla ağ isteği gönderen bir arka plan görevi oluşturmak zor değil
      Arka plan görevinin, bir tür benzersiz tanımlayıcı içeren HTTP isteğini reklam ağı sunucusuna göndermesi, sunucunun da IP coğrafi konumunu işlemesi yeterli olur
      Birçok mobil ağda doğruluk yüksek olmayacaktır, ama bazı ISP’lerde IP’ler mahalle düzeyine kadar ayrıştığı için Wi‑Fi’da epey ayrıntılı hale gelebilir
      Bu olasılığı öngörerek neredeyse tüm uygulamalar için Arka Planda Uygulama Yenileme’yi kapattım ve uygulama deneyiminde bir düşüş olmadı
      iOS’ta izleyici IP isteklerini engellemek için cihaz içinde sahte bir VPN oluşturan 1Blocker’ı kullanırken, Arka Planda Uygulama Yenileme’yi kapatınca engellenen istek sayısının ciddi biçimde düştüğünü gördüm
      Bir kısmı Sentry gibi zararsız tanılama servisleriydi, ama büyük çoğunluğu öyle değildi
      iOS geliştirmeye aşina biri, arka plan görevlerinin çalışma kısıtlarını dikkate alınca bunun gerçekten mümkün olup olmadığını açıklarsa iyi olur
    • Metinde “Bu coğrafi konum veri kümesinin önemli bir kısmı, IP adreslerini coğrafi konuma çevirerek çıkarılmış gibi görünüyor. Yani tedarikçi ya da kaynağı GNSS/GPS verisi değil, kullanıcının IP adresini kontrol ederek coğrafi konum türetiyor. Bu da verinin tamamen konum verisi SDK’sından gelmediğini düşündürüyor” deniyor
      Muhtemelen izin açıksa konumu kullanıyorlar, değilse IP coğrafi konumuna geri düşüyorlar
      Gerçek zamanlı teklif verme, gizlilik açısından bir kâbus; kullanıcının davranışını gerçek zamanlı olarak tüm reklam sağlayıcılarına saçıp “kötüye kullanmayacağız” diye serçe parmak sözüne dayanan bir yapı
    • Hayır
      Hassas konum verisi olan yerlerde kullanıcı izni vermiş demektir
      Candy Crush’ın neden hassas konum istemesi gerektiğini bilmiyorum, ama CC’nin böyle bir izin istemediğinden oldukça eminim
  • Şahsen Tinder’ın devletin sert müdahalesiyle karşılaşmasını bekliyorum
    Birden fazla flört uygulamasını birleştirdikten sonra sahip olduğu tekel gücü gerçekten akıl almaz
    İnternetin yükselişiyle oluşan toplumsal dışsallıklardan herkes şikâyet ediyor, ama uzun vadede bir ülkenin başarısı için bundan daha önemli değişkenlerin pek az olduğunu söylemek zor

    • Tinder’da tam olarak sorun ne, merak ediyorum
      Hiç kullanmadım ama kabaca seks amaçlı bir Facebook gibi düşünüyorum
      Meta’nın hizmetlerinden daha mı kötü?