- Aus den gehackten Dateien von Gravy Analytics gingen die Namen von Tausenden Apps und Standortdaten hervor. Das legt nahe, dass beliebte Apps womöglich über das Werbe-Ökosystem und nicht über Entwickler-SDKs zum Sammeln sensibler Standortdaten genutzt wurden.
- Als zentraler Übertragungsweg gilt der RTB bid stream bei Echtzeit-Werbeauktionen. Selbst ohne tatsächliche Ausspielung von Werbung können angebundene Unternehmen den Gerätestandort und IP-basierte Standortdaten erfassen.
- Auf der Liste stehen unter anderem Candy Crush, Tinder, Grindr, MyFitnessPal, Flightradar24, Tumblr, Microsoft 365 und Yahoo Mail sowie Apps zur Schwangerschafts- und Zyklusverfolgung, religiöse Apps und VPN-Apps.
- Gravy hat Standortdaten an kommerzielle Kunden verkauft und sie über die Tochterfirma Venntel auch an US-Behörden geliefert. Venntel-Daten wurden zudem in staatlich beschafften Überwachungswerkzeugen wie Locate X eingesetzt.
- Auch wenn App-Entwickler keinen eigenen Code zur Standorterfassung eingebaut haben, können Daten im Werbe-Bietprozess abfließen. Damit verlagert sich der Fokus beim Schutz der Nutzer von der einzelnen App auf die Ad-Tech-Lieferkette.
Die durch den Gravy-Hack offengelegte Lieferkette für Standortdaten
- Die gehackten Dateien enthielten Tausende Android- und iOS-Apps, und in einigen Dateien wurde neben jedem Standortdatensatz auch der App-Name vermerkt.
- Die Daten enthalten zig Millionen Koordinaten mobiler Geräte in den USA, Russland und Europa.
- Da der Erfassungsweg eher das Werbe-Ökosystem als von App-Herstellern eingebauter Code zu sein scheint, könnten nicht nur Nutzer, sondern auch App-Entwickler nichts von dieser Sammlung gewusst haben.
- Einigen Standortdaten fehlen Zeitstempel, doch in der Liste taucht das im Mai 2024 veröffentlichte Call of Duty: Mobile Season 5 auf, was auf Daten aus dem Jahr 2024 hindeutet.
- Unklar ist, ob Gravy die Daten selbst gesammelt oder von anderen Firmen beschafft hat und welches Standortdaten-Unternehmen sie am Ende besaß oder lizenziert hatte.
Enthaltene Apps und die veröffentlichte Liste
- 404 Media extrahierte die App-Namen aus den gehackten Dateien, stellte eine Liste zusammen und veröffentlichte die vollständige Übersicht in Google Sheets.
- Die App-Liste umfasst zahlreiche Kategorien wie Spiele, Dating, Gesundheit, Verkehr, Arbeit, Religion und VPN.
- Spiele: Candy Crush, Temple Run, Subway Surfers, Harry Potter: Puzzles & Spells
- Dating-Apps: Tinder, Grindr
- Gesundheits- und Lifestyle-Apps: MyFitnessPal, My Period Calendar & Tracker
- Verkehrs- und Flug-Apps: Moovit, Flightradar24
- Soziale und Arbeits-Apps: Tumblr, Yahoo Mail, Microsoft 365
- Apps sensibler Kategorien: Schwangerschafts-Tracker, muslimische Gebets-Apps, christliche Bibel-Apps, verschiedene VPN-Apps
- Enthalten sind sowohl Android- als auch iOS-Apps, und auch leicht abweichende Dubletten wurden beibehalten, damit Nutzer leichter nach installierten Apps suchen können.
- Mehrere Sicherheitsforscher veröffentlichten ebenfalls separate App-Listen in unterschiedlicher Größe.
Warum RTB als zentraler Übertragungsweg gilt
- Zach Edwards von Silent Push bewertet die Gravy-Daten als öffentlichen Beleg dafür, dass sie nicht aus eingebautem App-Code, sondern aus dem Bietstrom des Online-Werbemarkts stammen.
- Früher bezahlten Standortdaten-Firmen App-Entwickler dafür, Codepakete zur Standorterfassung in Apps einzubauen. Heute wird Standortinformation teils auch im Zuge der Werbeauktionen innerhalb von Apps abgegriffen.
- Bei Echtzeitauktionen bieten Unternehmen auf Werbeflächen in Apps, und Datenbroker können dabei den Prozess beobachten und die Standorte mobiler Geräte sammeln.
- Überwachungsfirmen können durch den Kauf von Ad-Tech-Unternehmen oder durch Auftreten als potenzielle Werbekunden Zugriff auf RTB-Daten erhalten.
- Sie müssen die Werbung nicht tatsächlich ersteigern oder anzeigen.
- Schon die Anbindung an die Werbeindustrie kann genügen, um Gerätedaten zu sammeln.
- In diesem Fall können die Standortdaten auch die IP-Adresse des Nutzers enthalten, die sich in einen ungefähren geografischen Standort umrechnen lässt.
Technische Indizien aus Sicht der Forscher
- Krzysztof Franaszek, Gründer von Adalytics, hält es für sehr wahrscheinlich, dass ein Teil der Daten über werbebezogenes RTB beschafft wurde.
- In den User-Agents einiger Dateien tauchte der String
afma-sdkauf, der im Google Mobile Ads SDK verwendet wird. - Das deutet darauf hin, dass in einigen Fällen Googles Werbeplattform die Anzeigen ausgeliefert hat und dieser Werbefluss womöglich zur Nachverfolgung durch externe Firmen oder potenzielle staatliche Auftragnehmer führte.
- Franaszek geht davon aus, dass ein erheblicher Teil der Daten nicht aus GNSS/GPS stammt, sondern aus IP-adressbasierter Geolokalisierung abgeleitet wurde.
- Edwards meint, die große Vielfalt an App-Typen passe eher zu einer massenhaften Erfassung über RTB als zu einer Sammlung auf Basis einzelner SDKs.
- Google und Apple reagierten nicht auf wiederholte Anfragen um Stellungnahme.
Die Verbindung zwischen Gravy, Venntel und staatlichen Überwachungswerkzeugen
- Gravy ist ein Unternehmen, das mobile Standortdaten aus verschiedenen Quellen bündelt und an kommerzielle Firmen verkauft.
- Über die Tochterfirma Venntel wurden diese Standortdaten auch an US-Behörden verkauft.
- Zu den Kunden von Venntel gehörten unter anderem Immigration and Customs Enforcement, Customs and Border Protection, IRS, FBI und Drug Enforcement Administration.
- Venntel lieferte die Basisdaten für das von Behörden beschaffte Überwachungswerkzeug Locate X von Babel Street.
- 404 Media und andere Medien zeigten im vergangenen Jahr, dass Locate X zur Überwachung von Besuchern von Abtreibungskliniken außerhalb des eigenen Bundesstaats eingesetzt werden könnte.
Reaktionen der App-Unternehmen
- Flightradar24 erklärte, man habe noch nie von Gravy gehört, schalte aber Werbung; diese helfe dabei, Flightradar24 kostenlos zu halten.
- Tinder erklärte, keine Beziehung zu Gravy Analytics zu haben, und sagte, es gebe keine Belege dafür, dass die betreffenden Daten aus der Tinder-App stammten; auf Fragen zu Werbung in der App antwortete das Unternehmen jedoch nicht.
- Muslim Pro erklärte, Gravy nicht zu kennen und zur Finanzierung der kostenlosen Version Werbung über mehrere Werbenetzwerke anzuzeigen, diesen Netzwerken aber nicht zu erlauben, Standortdaten der Nutzer zu sammeln.
- Grindr erklärte, nie mit Gravy Analytics gearbeitet oder Daten an das Unternehmen geliefert zu haben; zudem teile man keine Daten mit Datenaggregatoren oder Brokern und seit mehreren Jahren auch keine Standortinformationen mit Werbepartnern.
- Die meisten App-Entwickler und Unternehmen reagierten nicht auf Anfragen um Stellungnahme.
Regulierung und Datenvalidierung
- Im Dezember 2024 untersagte die FTC Mobilewalla, bei Online-Werbeauktionen erhobene Verbraucherdaten für andere Zwecke als die Teilnahme an den Auktionen zu nutzen.
- Die FTC erklärte, Venntel und Gravy hätten Daten ohne Einwilligung der Nutzer gesammelt, und ordnete die Löschung früherer Standortdaten an.
- Auch der Verkauf von Daten zu sensiblen Orten wie Gesundheitskliniken und Gebetsstätten wurde verboten, wobei begrenzte Ausnahmen aus Gründen der nationalen Sicherheit oder Strafverfolgung bestehen bleiben.
- 404 Media überprüfte die gehackten Gravy-Daten auf mehreren Wegen.
- Einige Dateien enthielten Zugangsdaten für die Gravy-Instanz des Data-Warehousing-Tools Snowflake.
- Es wurde geprüft, ob die URLs in den gehackten Dateien zu einer realen Snowflake-Instanz passten.
- Eine Datei namens
usersenthielt eine Firmenliste, wobei einige dieser Firmen eine Beziehung zu Gravy bestritten.
- Cuebiq erklärte, man bewerte regelmäßig Marktdaten, in diesem Fall habe es sich jedoch nur um einen Test mit einer begrenzten Datenstichprobe gehandelt, die nie an Kunden geliefert und nach Ende des Tests gelöscht worden sei.
- Datonics erklärte, die in den Dateien enthaltene Segment-ID gehöre nicht Datonics, sondern Gravy.
- Unacast, das 2023 mit Gravy fusionierte, reagierte nicht auf mehrere Anfragen um Stellungnahme zum Hack und dazu, ob Standortdaten auf RTB-Basis abgeleitet wurden.
1 Kommentare
Meinungen auf Hacker News
Jedes Mal, wenn unten in einer App eine kleine Banneranzeige erscheint, findet für diese Werbefläche in Echtzeit eine Auktion statt.
Wenn Google Informationen an die Bieter weitergibt, berechnen diese, wie viel sie zahlen würden, um diese Anzeige einzublenden.
Das heißt, auch die unterlegenen Bieter erhalten den Daten-Wasserfall, und es gibt Unternehmen, deren Zweck von Anfang an darin besteht, Auktionen zu verlieren und dabei Daten zu sammeln.
Daher ist es auch nicht überraschend, dass In-Q-Tel, der nicht geheime Investmentarm der CIA, in solche Analysen, also in Firmen für digitale Überwachung, investiert hat.
https://www.ftc.gov/news-events/news/press-releases/2024/12/...
Es geht um eine FTC-Beschwerde, wonach Mobilewalla bei Geboten auf Werbeflächen von Kunden in Echtzeit-Werbebörsen Informationen aus Bid Requests unrechtmäßig gesammelt und gespeichert hat, obwohl das Unternehmen den Zuschlag nicht erhalten hatte.
Von Januar 2018 bis Juni 2020 wurden zusammen mit präzisen Standortdaten mehr als 500 Millionen eindeutige Werbe-IDs von Verbrauchern gesammelt; die Roh-Standortdaten waren nicht anonymisiert, und es gab keine Richtlinie zum Entfernen sensibler Orte, sodass sich einzelne Geräte und besuchte Orte identifizieren ließen.
Der Zugriff auf diese Rohdaten sei an Dritte wie Werbetreibende, Datenbroker und Analysefirmen verkauft worden.
Wenn man am Header Bidding teilnimmt, erhält man Daten, die denen ähneln, die man beim Betrieb einer beliebten mobilen Website sehen könnte.
Dass In-Q-Tel in ein gutes Arbitrage-Geschäft wie eine Börse investiert, ist nicht überraschend; gute Investoren tätigen gute Investments, und es wirkt nicht wie eine zynische Überwachungsstrategie.
Google setzt das jedoch nicht durch, weil es eine Art ist, Nutzerdaten zu verkaufen, ohne ausdrücklich Nutzerdaten zu verkaufen.
Naiverweise dachte ich, Google würde solche Gebote intern abwickeln.
Was der Artikel nicht behandelt, ist, wie der Standort erfasst wird.
IP-Geolokalisierung als Erhebung von Standortdaten zu bezeichnen, ist etwas weit hergeholt; sie ist in der Regel weniger genau als direkte Geolokalisierung, sodass man sie nicht von einem Broker beziehen müsste.
Unter Android benötigen jedoch sowohl ACCESS_COARSE_LOCATION als auch ACCESS_FINE_LOCATION einen Berechtigungsdialog, daher frage ich mich, wie genau das funktioniert.
Dort heißt es sinngemäß: „Ein erheblicher Teil dieses Geolokalisierungsdatensatzes scheint durch Nachschlagen von IP-Adressen als Geostandorte abgeleitet worden zu sein. Das bedeutet, dass der Anbieter oder dessen Quelle die IP-Adresse des Nutzers verwendet, um einen Geostandort abzuleiten, statt GNSS/GPS-Daten zu nutzen. Das deutet darauf hin, dass die Daten nicht vollständig aus einem Standortdaten-SDK stammen.“
Ein Spiel sollte überhaupt nicht versuchen, meinen Standort zu verfolgen, und sollte keinen Freibrief bekommen, nur weil es technisch weniger genau ist.
https://developers.google.com/android/reference/com/google/a...
Bei den anderen Apps weiß ich es nicht.
comm -12 <(cat gravy_app_list\ -\ count.csv| uvx --from csvkit csvcut -c 2 | rg '\.' | sort) <(adb shell pm list packages -3 | cut -f 2 -d ":" | sort)Die CSV kann man unter https://docs.google.com/spreadsheets/d/1Ukgd0gIWd9gpV6bOx2pc... herunterladen und prüfen, ob es Übereinstimmungen mit den Apps auf dem eigenen Handy gibt.
Wenn ich mir meine Liste ansehe, frage ich mich zweierlei: Welche App eignet sich als Ersatz für PodcastAddict, ob in der Bezahlversion nicht nur die Anzeige von Werbung auf dem Bildschirm, sondern der gesamte Werbe-Traffic aufhört, und wie MS Outlook überhaupt auf diese Liste geraten ist.
PodcastAddict fordert nicht einmal eine Standortberechtigung an[1].
Wie sollte es dann auf den Standort zugreifen können? Liest man den Artikel genauer, steht dort der Vorbehalt, dass die Standortdaten möglicherweise gar nicht aus den Gravy-Apps stammen.
Bestenfalls bekommt man eine IP-basierte Standortbestimmung, und das sind Informationen, die man ohnehin an jede Website preisgibt, die man besucht.
Dort heißt es sinngemäß: „Dieser Datensatz scheint aus dem Hack von Gravy zu stammen, aber es ist unklar, ob Gravy diese Standortdaten selbst gesammelt hat, ob sie von einem anderen Unternehmen stammen oder welches Standortdaten-Unternehmen sie letztlich besitzt oder lizenziert hat.“
[1] https://play.google.com/store/apps/details?id=com.bambuna.po...
„Hallo, ich verstehe nicht, worum es in dieser E-Mail geht. Natürlich verbindet sich jede Podcast-App zum Streamen mit Inhalten Dritter; daher können die von Podcastern genutzten Hosting-Plattformen, Tracking-Dienste und Werbedienste auf die IP-Adresse des Nutzers zugreifen.
Zu sagen, eine Podcast-App leake die IP-Adresse, ist genauso unsinnig, wie das über einen Webbrowser zu sagen. Sie ist nur ein Werkzeug, das sich mit Inhalten Dritter verbindet, und solange man kein VPN nutzt, kann der Server, mit dem man sich verbindet, immer auf die IP-Adresse zugreifen.
Die App hat nicht den Standort des Nutzers. Wie Sie sehen, fordert sie keine Standortberechtigung an, daher hat die App keine Standortinformationen, die sie teilen könnte. Die IP wird jedoch selbstverständlich jedem Server offengelegt, mit dem man sich verbindet.
Xavier“
Ich nutze NextDNS [1], weil man es konfigurieren kann; AdGuard [2] DNS dürfte vermutlich auch gut funktionieren.
grep -f gravy_app_list\ -\ count.csv <(adb shell pm list packages -3 | cut -d":" -f2).Werbung ist ein Virus, der jedes Ökosystem infiziert.
Das hier ist eher Bleivergiftung.
An sich ist daran nichts grundsätzlich falsch, aber Menschen, die Böses tun, mögen sie viel zu sehr.
Verwandter Beitrag: Die FTC geht gegen Gravy Analytics und Venntel wegen des Verkaufs von Standortdaten vor, 194 Punkte · 158 Kommentare
https://news.ycombinator.com/item?id=42309429
https://web.archive.org/web/20250109211053/https://www.wired...
https://archive.ph/Danyk
https://docs.google.com/spreadsheets/d/1Ukgd0gIWd9gpV6bOx2pc...
https://gist.github.com/fs0c131y/f498b21cba9ee23956fc7d76292...
Ich frage mich, ob man das so verstehen kann, dass diese Apps die Betriebssystem-Berechtigung dafür umgehen können, ob Standortdaten erlaubt sind
Nach meinem Verständnis ist es nicht schwer, einen Hintergrund-Task zu erstellen, der regelmäßig Netzwerk-Requests sendet
Der Hintergrund-Task müsste nur einen HTTP-Request mit irgendeinem eindeutigen Identifier an den Server eines Werbenetzwerks schicken, und der Server verarbeitet dann die IP-Geolokalisierung
In vielen Mobilfunknetzen wäre die Genauigkeit zwar nicht hoch, aber bei manchen ISPs sind IPs bis auf Nachbarschaftsebene fein aufgeschlüsselt, sodass es über Wi-Fi ziemlich granular werden kann
Weil ich diese Möglichkeit erwartet hatte, habe ich Background App Refresh für fast alle Apps deaktiviert und keine Verschlechterung der App-Erfahrung bemerkt
Als ich 1Blocker nutzte, das unter iOS ein Dummy-VPN auf dem Gerät erstellt, um IP-Requests von Trackern zu blockieren, habe ich gesehen, dass die Zahl der blockierten Requests deutlich zurückging, nachdem ich Background App Refresh deaktiviert hatte
Einige davon waren harmlose Diagnosedienste wie Sentry, aber die große Mehrheit war es nicht
Es wäre gut, wenn jemand mit iOS-Entwicklungserfahrung erklären könnte, ob das unter Berücksichtigung der Ausführungsbeschränkungen für Hintergrund-Tasks tatsächlich möglich ist
Vermutlich wird der Standort verwendet, wenn die Berechtigung aktiviert ist, andernfalls wird wahrscheinlich auf IP-Geolokalisierung zurückgegriffen
Real-Time Bidding ist aus Datenschutzsicht ein Albtraum: Es verteilt das Verhalten der Nutzer in Echtzeit an alle Werbeanbieter und verlässt sich strukturell auf ein kleines „Versprochen, wir missbrauchen es nicht“
Wo präzise Standortdaten vorliegen, hat der Nutzer die Berechtigung erteilt
Ich weiß nicht, warum Candy Crush präzisen Standort anfordern müsste, bin mir aber ziemlich sicher, dass CC keine solche Berechtigung anfragt
Persönlich warte ich darauf, dass Tinder von der Regierung eins auf den Deckel bekommt
Die Monopolmacht, die das Unternehmen nach dem Zusammenlegen mehrerer Dating-Apps hat, ist wirklich absurd
Alle beschweren sich über die sozialen Externalitäten, die durch den Aufstieg des Internets entstanden sind, aber langfristig gibt es kaum Variablen, die für den Erfolg eines Landes wichtiger wären als diese
Ich habe es nie benutzt, stelle es mir aber grob wie eine Art Facebook für Sex vor
Ist es schlimmer als die Dienste von Meta?