Ang Sikat Crypto App ay Nahanap na May Kaugnayan sa Data Tracking Company: Ulat

Ang mga bersyon ng Android ng sikat na Cryptocurrency app Bitcoin Ticker Widget at isang tila clone ng Steemit, Steemit Earn Money, ay may kasamang software development kit (SDK) na mga tool na kumukuha ng malawak na data sa mga user sa nakaraan at posibleng naka-link sa tracking code ng lokasyon mula sa X-Mode na isang kilalang kumpanya sa pagsubaybay ng data, ayon sa isang bagong ulat mula sa Express VPN Digital Security Lab. Dalawang iba pang personal na app sa Finance ang natagpuang naglalaman ng mga data tracker na ito.

"Nais naming sabihin sa mga mamimili: 'Ito ay isang malaking problema; maaaring hindi mo ito nalalaman,'" sabi ni Sean O'Brien, punong mananaliksik sa ExpressVPN Digital Security Lab. "Kahit na ang mga app na ito ay T lahat ng malalaking brand, ang mga app na ito ay na-download nang 1.7 bilyong beses, sama-sama, at milyun-milyong beses para sa bawat indibidwal na app. Gumagana ang mga ito sa mga telepono ng mga tao sa kanilang mga bulsa. Ginagamit ito ng mga tao para sa pakikipag-date at panlipunan at pananalapi ngunit hindi nila lubos na nalalaman ang dami ng data na kinukuha."

Pag-scooping ng personal na data

Bagama't maraming kumpanya ang bumibili at nagbebenta ng access sa data ng lokasyon na nakuha mula sa mga hindi pinaghihinalaang mga telepono ng mga tao, ang X-Mode ay nasa ilalim ng pagsisiyasat pagkatapos na maihayag ang kaugnayan nito sa mga kontratista ng gobyerno at militar.

Noong Nobyembre 2020, Iniulat ni Vice Kinukuha ng X-Mode ang detalyadong data ng lokasyon mula sa maraming Muslim prayer app, pagkatapos ay ibinebenta ang data na iyon "sa mga kontratista, at sa pamamagitan ng extension, ang militar."

Read More: Mula sa SIM-Swaps hanggang sa Home-Invasion Threats, Ang Ledger Leak ay May mga Cascading Consequences

Ang bagong ulat na ito, isang mas malawak na pagtatanong sa isyung ito, ay natagpuang ang X-Mode code ay nasa 44% ng 450 na apps na kanilang sinuri, at ang mga app na iyon ay na-download nang hindi bababa sa isang bilyong beses.

"Ang mga app na ito ay pandaigdigan at may kasamang kalusugan pati na rin ang mga app sa panahon, mga laro at mga filter ng larawan ng pampaganda,' ang sabi ng ulat.

"Tumatakbo sila sa mga telepono ng mga tao sa kanilang mga bulsa. Ginagamit sila ng mga tao para sa pakikipag-date at panlipunan at pananalapi ngunit hindi nila lubos na nalalaman ang dami ng data na kinukuha."

Habang ang Steemit Earn Money ay na-download lamang nang humigit-kumulang 100 beses, ang Bitcoin Ticker Widget ay na-download nang higit sa 1 milyong beses.

Noong Disyembre, sinabi ng Apple at Google sa mga developer na tanggalin X-Mode mula sa kanilang mga app o ma-ban sa kanilang mga app store, ngunit sa pagtatapos ng Enero, natuklasan ng ulat, maraming mga app ang hindi pa nakakasunod, na kinumpirma ng TechCrunch sa kahit ONE kaso.

Sa pangkalahatan, sinuri ng pag-aaral ang 450 Android app para sa mga tagasubaybay ng data.

Mga SDK at data broker ng X-Mode

Ang mga SDK ay mga pangunahing tool na ginagawang mas mabilis at mas madali para sa mga developer na gumawa ng mga app. Iyon ay sinabi, ang mga tool na iyon ay maaaring maglaman ng code na T kinakailangan sa CORE function ng isang app. Maaaring subaybayan ng dagdag na code na ito ang lokasyon, kunin ang data at karaniwang maghatid ng impormasyon pabalik sa gumawa ng SDK. Ang impormasyong iyon ay maaaring ibahagi o ibenta upang magamit para sa iba't ibang layunin.

Kapag nag-download ang mga user ng app at tinanggap ang mga tuntunin ng serbisyo at Policy sa Privacy nito, maaaring hindi nila sinasadyang mag-opt in sa mga paraan ng pangongolekta ng data na ito, kahit na hindi eksaktong sinabi sa kanila kung kaninong mga kamay mapupunta ang data. Ang mga ganitong uri ng kagawian ay karaniwan sa mundo ng pag-target sa pag-advertise ngunit, gaya ng naunang naidokumento, maaari ding ang data mauuwi sa mga kamay ng nagpapatupad ng batas (kahit walang warrant), bounty hunters at iba pa.

Read More: Paano Sinusubukan ng Isang Paghahabla Laban sa IRS na Palawakin ang Privacy para sa Mga Gumagamit ng Crypto

"Sa loob ng X-Mode SDK, ay mga reference ng code sa limang provider ng data," sabi ni O'Brien. "Ito ang iba pang mga entity na maluwag na tinatawag ng mga tao na 'data brokers.' Minsan gumagawa sila ng aktwal na pagbebenta ng data at kung minsan ay hindi. Bagama't medyo kumplikado ito, ang limang entity na ito ay karaniwang mga kilalang brand sa space surveillance ng lokasyon na ito."

"Ang tila nangyayari dahil sa kung ano ang nasa code ay ang mga tagapagbigay ng data na ito ay may isang uri ng relasyon sa negosyo sa X-mode, alinman sa kasalukuyan o dati," sabi ni O'Brien. "At kung naka-enable ang mga ito sa mga app na ito, nakakakuha din ang mga provider na iyon ng ilang impormasyon mula sa app na mayroong X-mode SDK."

OneAudience, Opensignal at pagsubaybay sa data ng lokasyon

Ang OneAudience, na kasama sa Bitcoin Ticker Widget at Steemit Earn Money, ay ONE tracker ng “data broker” na binanggit sa code ng X-Mode bilang bahagi ng SDK. Ito ay paksa ng isang pagbabawal at demanda ng Facebook sa mga paglabag sa Privacy ng data dahil sa data na kinokolekta ng SDK ng OneAudience.

Noong Pebrero 2020, inaangkin ng Twitter at Facebook na "Ang OneAudience ay kumukuha ng pribadong data, gaya ng mga pangalan ng tao, kasarian, email, username at posibleng huling tweet ng mga tao" sa isang lawak na naihambing ito sa Cambridge Analytica iskandalo. Isinara ang SDK sa pagtatapos ng 2019.

Ang isa pang data tracker, Opensignal, ay pangunahing gumaganap bilang isang WiFi mapper, kung saan matutukoy ang mga lokasyon ng mga user.

Sa demanda nito laban sa OneAudience, ayon sa Recode, sinabi ng Facebook na "Nagbayad din ang OneAudience ng mga app upang makuha ang impormasyon ng Google at Twitter ng mga user kapag nag-log in sila sa ONE sa mga nakompromisong app gamit ang kanilang impormasyon sa Google o Twitter account."

Read More: Ang Mailap na Malware na ito ay Tinatarget ang Crypto Wallets sa loob ng isang Taon

Ang OneAudience, nang isara ang SDK na paksa ng demanda, ay nagsabi, "Ipinayuhan kami na ang personal na impormasyon mula sa daan-daang mga mobile ID ay maaaring naipasa sa aming OneAudience platform. Ang data na ito ay hindi kailanman nilayon na kolektahin, hindi kailanman idinagdag sa aming database at hindi kailanman ginamit."

Ang modelo ng negosyo ng Opensignal, sa kabilang banda, ay pangunahing nakadepende sa kaso ng paggamit ng pagmamapa ng Wi-Fi nito.

"'Ang tanong ay, gaano karami sa data ng Wi-Fi ang kanilang na-scoop?"' tanong ni O'Brien.

Sa nito Policy sa Privacy, sinabi ng Opensignal na nangangalap ito ng data ng geolocation, "uri ng network, operator ng network, lakas at kalidad ng signal ng cellular at WiFi, at ang mga identifier ng mga konektadong cell tower at WiFi router."

Hindi tumugon ang OneAudience sa isang Request para sa komento. Opensignal, bilang tugon sa isang Request para sa komento, itinuro ang mga mambabasa sa Data Privacy Charter nito.

Isang 'mayaman na halaga' ng personal na data

Sa pagtalikod at pagtingin sa ulat at trapiko sa network mula sa mga app na ito, may dalawang malaking takeaway ang O'Brien pagdating sa epekto sa iyong Privacy ng data .

"Karaniwan ang data ay hindi pinangangasiwaan nang maayos," sabi niya. "At mayroong maraming data na maaaring magamit bilang isang identifier para sa isang tao na dumadaan sa pipe, kahit na ang lokasyon ay ang tanging pinangalanang dahilan kung bakit ang data ay sinasaklaw."

Kung pipiliin mong KEEP na gamitin ang mga app tulad ng Bitcoin Ticker Widget at Steemit Earn Money, may mga paraan upang limitahan ang kanilang mga kakayahan sa pagsubaybay sa data. Sinabi ni O'Brien na dapat pumunta ang mga user sa mga setting at suriin ang mga pahintulot para sa app, lalo na ang mga pahintulot sa lokasyon, at bawiin ang mga ito.

"Iyon ay maaaring mangahulugan na ang app ay nagiging hindi gaanong gumagana o nagpapakita ng mga nagging screen na humihingi ng pahintulot," sabi niya. "Kung hindi, sa kasamaang-palad, ang tanging ibang hakbang ay ang pag-alis sa app. Kung ikaw ay residente ng California o [European Union], maaaring may ilang iba pang hakbang na dapat gawin tungkol sa paghiling na tanggalin ang impormasyon o humiling man lang ng kopya ng impormasyong mayroon sila."