Elementos da indústria publicitária integraram rastreadores de localização nos anúncios apresentados em milhares de aplicações, com a recolha a acontecer muitas vezes sem o conhecimento ou autorização dos utilizadores e dos próprios criadores das apps. Zach Edwards, analista sénior da Silent Push, explica ao 404 Media que “pela primeira vez, publicamente, parece que temos evidências de que um dos grandes vendedores de dados, a vender a clientes comerciais e governamentais, está a obter os seus dados a partir do fluxo de anúncios online” e não através de código integrado nas aplicações.
A Silent Push trabalhou de perto na análise de ficheiros obtidos na Gravy Analytics, uma das empresas que se sabe que vende dados de localização a entidades governamentais. Estes ficheiros mostram uma rara vista sobre como funciona o sistema de licitações em tempo real (RTB na sigla inglesa) e que inclui conjuntos de código que recolhe dados de localização. “Isto é um cenário de pesadelo para a privacidade, porque não só pelo vazamento de dados dos sistemas RTB, mas também porque há empresas por aí a agir como coletores globais e a fazer o que quiserem com os dados”, continua Edwards.
No grupo de dados da Gravy Analytics, há dezenas de milhões de coordenadas móveis de telemóveis nos EUA, Rússia e Europa. Alguns destes registos mostram uma referência a uma app, com o 404 Media a ter compilado uma lista destas: Tinder, Grindr, Candy Crush, Subway Surfers, Temple Run, Harry Potter: Puzzles & Spells , Moovit, My Period Calendar, MyFitness Pro, Tumblr, a app do Office 365 da Microsoft, ou o FlightRadar24. Além destas, o repositório de dados inclui referências a apps religiosas para muçulmanos e cristãos e muitas aplicações que descarregam VPN que, ironicamente, são usadas para proteger a privacidade.
Ainda não se sabe se a Gravy estava a recolher estes dados ativamente ou se os obteve através de uma outra empresa. Não há, nos registos, referências temporais, mas algumas têm a indicação do ano de 2024.
A Gravy é especializada em dados de localização que recolhe de várias fontes e que depois vende a várias empresas ou agências de autoridade diretamente ou através da sua subsidiária Venntel.
Um investigador da Adalytics que também olhou para os dados explica que “parece que pelo menos alguns destes dados vêm de licitações em tempo real ligadas a anúncios publicitários”, referindo que a expressão encontrada ‘afma-sdk’ é usada pelo kit de desenvolvimento de software Mobile Ads da Google. “Um volume relevante destes dados de geolocalização parece ter sido inferido pelos endereços IP, o que significa que o vendedor ou a sua fonte está a deduzir a localização do utilizador ao verificar o seu endereço IP, em vez de o fazer usando dados GNSS GPS” conta Krzysztof Franaszek. “O que estamos a ver nestes dados parece vir de uma grande diversidade de aplicações. Isso não é o que se vê numa ingestão de SDK; isso é o que se vê de ingestões do RTB em massa”, conclui Edwards.
