5 Punkte von GN⁺ 2025-02-03 | 1 Kommentare | Auf WhatsApp teilen
  • Ausgehend von der Leak-Liste von Gravy Analytics wurden drei auf einem iPhone installierte Apps identifiziert; anschließend wurde der Werbetraffic des kostenlosen Spiels Stack direkt mitgeschnitten, um nachzuverfolgen, über welche Wege Standort und IP nach außen gelangen
  • Selbst wenn Standortdienste und App-Tracking deaktiviert sind, enthalten Anfragen an Unity Ads Breiten- und Längengrad, IP, Zeitstempel, Mobilfunkanbieter, IDFV, Zustimmungswerte und weitere Daten
  • Auch Facebook-, adjust.com- und Unity-Konfigurationsanfragen erhalten IP und Zeitstempel oder Gerätesignale wie Bildschirmhelligkeit, Akku und Speicher, sodass Nutzer auch ohne Werbe-ID eingegrenzt werden können
  • Die IDFA wurde bei abgelehntem Tracking geleert, doch zwischen Apps desselben Entwicklers bleibt die IDFV erhalten; IP, Standort, User-Agent und verschiedene Identifikatoren fließen weiter in das Werbe-Ökosystem
  • Werden Auktionsdaten aus Werbung, MAID-Standortdaten und MAID <> PII-Datensätze kombiniert, kann die Bewegungshistorie einer Person mit Name, Telefonnummer und Adresse verknüpft werden

Ein direktes Tracking-Experiment, ausgelöst durch eine Leak-Liste

  • Der groß angelegte Leak von Standortdaten bei Gravy Analytics enthielt den Hinweis, dass mehr als 2.000 Apps aus dem App Store und Google Play Standortdaten ohne Zustimmung der Nutzer gesammelt haben
  • In der öffentlichen Liste wurden mindestens drei Apps gefunden, die auf dem iPhone installiert waren; daraus entstand ein Experiment, um zu prüfen, ob sich die eigenen Standortdaten extern kaufen lassen
  • Die Testumgebung sah wie folgt aus
    • Auf Werkseinstellungen zurückgesetztes iPhone 11 mit neuer Apple ID
    • Aufzeichnung des ein- und ausgehenden Traffics mit Charles Proxy
    • Installation eines SSL-Zertifikats auf dem iPhone, um HTTPS-Traffic zu entschlüsseln
    • Das einfache Spiel Stack von KetchApp
  • Beim Start von Stack gingen in der ersten Minute massenhaft Anfragen ein und aus; nahezu in jedem Moment wurden mehrere Requests gesendet

Standort und IP werden in Unity-Ads-Anfragen übertragen

  • In an https://o.isx.unity3d.com gesendeten Unity-Ads-Anfragen waren auch bei deaktivierten Standortdiensten Standortdaten enthalten
  • Der Request-Body enthielt mehr als 200 Schlüssel; Beispielwerte waren unter anderem
    • Zeitstempel 2025-01-18T23:27:39Z
    • Ländercode ES
    • sports.bwin.es, offenbar die Domain, auf der die Anzeige erscheinen sollte
    • molocoads-eu-banner, offenbar ein Banner-Netzwerk
    • IP-Adresse cip
    • Gerätemodell iPhone12,1
    • Verbindungstyp WLAN
    • Mobilfunkanbieter Yoigo
    • ifv, also die IDFV
    • Breiten- und Längengrad
    • Server-IP
    • uc: 1, als Wert für die Zustimmung zum Nutzer-Tracking angezeigt
  • Dieser Ablauf führte von Stack über Unity zu Moloco Ads und weiter zum Bwin-Werbetreibenden; auch im Spiel selbst wurde tatsächlich eine Bwin-Anzeige eingeblendet
  • Der Standort war nicht extrem präzise, lag aber innerhalb derselben Postleitzahlzone; das iPhone war zu diesem Zeitpunkt mit WLAN verbunden und hatte keine SIM-Karte

Auch Facebook- und Unity-Konfigurationsanfragen erhalten Gerätesignale

  • Obwohl keine Meta-App installiert war und weder Facebook-Konto noch App oder Apple ID verbunden waren, enthielten Facebook-bezogene Anfragen IP und Zeitstempel
  • In der betreffenden Anfrage standen IP und Zeitstempel in bidder_token_info und bt_extras; zudem wurden viele weitere Daten mitgesendet
  • Die Konfigurationsanfrage von Unity an https://configv2.unityads.unity3d.com enthielt zwar keine direkten personenbezogenen Informationen wie Standort oder Name, aber zahlreiche Gerätezustände
    • OS-Version, Verbindungstyp, Ereigniszeitstempel
    • vendorIdentifier
    • Ob ein kabelgebundenes Headset angeschlossen ist
    • Lautstärke
    • Anzahl der CPUs
    • System-Bootzeit
    • Akkustatus
    • Bildschirmhelligkeit
    • Verfügbarer Speicher und Gesamtspeicher
    • Zeitzone
    • Speicherplatz
    • Netzbetreiber
    • advertisingTrackingId
  • Auch adjust.com war einer der „Provider“, die IP und Zeitstempel erhielten; der Request-Body wurde jedoch nicht separat analysiert

Die Ablehnung der IDFA blockiert nur einen Teil der Identifikatoren

  • ifv oder IDFV steht für ID for Vendor und ist ein pro Entwickler eindeutiger Identifikator
  • Als ein anderes KetchApp-Spiel installiert und dessen Anfragen geprüft wurden, war der ifv-Wert identisch mit dem von Stack
  • advertisingTrackingId, also die IDFA, ist ein entwicklerübergreifender Identifikator, der Apps freigegeben wird, wenn App-übergreifendes Tracking erlaubt ist
  • Beim Vergleich von erlaubtem und abgelehntem Tracking in der Stack-App wurde die IDFA im Zustand mit abgelehntem Tracking auf 000000-0000... gesetzt
  • Die Tracking-Einstellung änderte nur die Freigabe der IDFA; Daten wie IP, Standort und Zeitstempel wurden weiterhin übertragen
  • Wenn man zehn Apps desselben Entwicklers nutzt und in einer davon Tracking erlaubt, können die über die Apps dieses Entwicklers gesammelten Daten mit der IDFA angereichert werden
  • In den Anfragen fanden sich mehrere Identifikatoren wie tid, sid, device_id und uid; device_id und uid wurden auch mit Facebook geteilt

Der Weg von Werbe-Auktionsdaten

  • Der Pfad der Anfrage, über die der Standort geleakt wurde, verlief von Stack über o.isx.unity3d.com zu Moloco Ads und weiter zum Bwin-Werbetreibenden
  • Unity Ads übernimmt über das App-SDK die Rolle einer SSP, die Daten sammelt
    • App-Entwickler können das SDK installieren und Werbeeinnahmen erzielen
    • Es ist nicht nötig, sich separat bei einer Werbebörse zu registrieren oder eigene Logik zur Datenerfassung zu bauen
  • Moloco wird als DSP-Netzwerk vorgestellt, das Daten von verschiedenen SSPs wie Unity, Applovin und Chartboost erhält und mit Werbetreibenden verbindet
  • Unternehmen, die Werbepartner werden, können im Bietprozess auf Daten zugreifen; möglich ist auch eine Struktur, bei der sie im Rahmen regulärer Gebote an Werbebörsen gleichzeitig Daten sammeln
  • Ein Adops-Beitrag auf Reddit und ein Kommentar erklären, dass man durch Integration mit einer SSP als Bidstream-Anbieter Zugriff auf Auktionsdaten erhalten kann und dass die SSP für die Prüfung der Anbieter verantwortlich ist

Datenbroker und MAID-Standortdaten

  • Nachdem der Datenabfluss nachvollzogen war, wurde bei der Suche nach Verkaufsquellen Datarade gefunden
  • Eine Suche nach MAID-bezogenen Daten ergab Hunderte Optionen; der Redmob-Datensatz wurde mit 120.000 US-Dollar pro Jahr ausgewiesen
  • Ein Redmob-Sample ließ sich nicht per Website-Anfrage erhalten, war aber im Databricks Marketplace öffentlich verfügbar
  • Die Beschreibung des Redmob-Samples gibt an, Standortdaten für mehr als 1,5 Milliarden Geräte weltweit abzudecken und auch regionale Daten etwa für MENA, Africa und APAC anbieten zu können
  • „Low latency“ bedeutet, dass man den Standort erfahren kann, an dem die App zuletzt den Standort geteilt hat; dieser Zeitpunkt kann auch nur fünf Sekunden zurückliegen
  • In den Beispieldaten gibt es eine Spalte app, was offenlegt, dass die Datenquelle eine App ist
  • Die Spalte yod könnte für das Geburtsjahr stehen, doch die tatsächliche Bedeutung oder Quelle wurde nicht bestätigt

Verknüpfung von MAID mit personenbezogenen Informationen

  • Um eine Person allein anhand ihrer Standort-Bewegungshistorie zu verfolgen, muss sich die MAID oder ifa mit realen personenbezogenen Informationen wie Name, Adresse oder Telefonnummer verbinden lassen
  • Auf Datarade gibt es auch Datensätze vom Typ MAID <> PII
  • Die Beispieltabelle von AGR Marketing Solutions wird über Google Docs bereitgestellt und enthält vollständige Namen, E-Mail-Adressen, Telefonnummern, physische Adressen, Informationen zu Immobilieneigentum und IDFA
  • In dieser Struktur lassen sich MAID-Standortdaten und MAID <> PII-Daten kombinieren, um Bewegungshistorien mit personenbezogenen Informationen zu verknüpfen

Wie die Bewegungshistorie einer bestimmten Person auffindbar wird

  • Wenn man kostenlose Apps nutzt und sich bewegt, werden Standortdaten zu wertvolleren Daten
  • Unabhängig davon, ob man App-Tracking erlaubt oder ablehnt, können IP, Standort, User-Agent und Kombinationen aus Geodaten an mehrere Dritte durchsickern
  • Gefälschte DSPs und Datenbroker können die Daten innerhalb weniger Sekunden erhalten
  • Über gekaufte MAID <> PII-Daten lassen sich Name oder Telefonnummer mit IDFA, IP-Adresse und User-Agent verknüpfen
  • Filtert man anschließend in Mobility data, die aus Standortverläufen bestehen, nach den Werten aus dem vorherigen Schritt, lässt sich die Bewegungshistorie einer bestimmten Person finden
  • Das Flowchart, das den gesamten Ablauf zusammenfasst, zeigt die Verbindungen zwischen Apps, Werbenetzwerken, Brokern und Datensätzen mit personenbezogenen Informationen
  • Jede einzelne Transaktionseinheit kann legal sein oder legal wirken, doch die kombinierte Gesamtstruktur ermöglicht das Tracking des Standorts einzelner Personen

1 Kommentare

 
GN⁺ 2025-02-03
Meinungen auf Hacker News
  • Das große Datenschutzproblem ist: Egal, was man tut, es gibt keinen vernünftigen Weg, zu verhindern, dass Kontaktinformationen verkauft werden.
    In dem Moment, in dem mein Cousin TikTok öffnet und auf „Ich teile mein gesamtes Adressbuch“ tippt, landen auch mein Name, meine Telefonnummer und meine E-Mail-Adresse mit im Pool.
    Solche Daten werden tatsächlich gekauft. Wenn man beim Kundendienst nicht weiterkommt, sucht man auf einem Marktplatz eine Führungskraft heraus, zahlt ein paar Dollar für ihre Kontaktdaten und ruft sie auf dem Handy an. Meist funktioniert das, kann aber auch heftig nach hinten losgehen. CashApp hat deswegen mein Konto geschlossen.

    • Ehrlich gesagt: gut so. Für die Leute, die uns dieses System aufzwingen, sollten dieselben Regeln gelten.
      Das ist vielleicht eine der wenigen Möglichkeiten, Menschen mit Entscheidungsbefugnis dazu zu bringen, die aktuelle Struktur zu überdenken. Als Red Reddington sagte, er habe keine E-Mail-Adresse, haben die Leute gelacht – aber angesichts solcher Situationen versteht man es.
    • Zum Glück ändert sich das mit dem eingeschränkten Teilen von Kontakten in iOS 18.
      https://mobiledevmemo.com/wp-content/uploads/2024/09/image.p...
      Auch die Oberfläche scheint so gestaltet zu sein, dass sie Nutzer eher dazu bringt, nur einige Kontakte freizugeben, statt gedankenlos „alles erlauben“ anzutippen.
      Das größere Problem sind die Kontaktinformationen, die man Online-Händlern überlässt. Das Sammeln von Kontakten über Apps ist gut sichtbar und führt zu Medienberichten und Gegenreaktionen von Verbrauchern. Bei Online-Bestellungen muss man dagegen Name, Adresse, Telefonnummer und E-Mail-Adresse korrekt eingeben, und wegen Versand und Zahlung sind sie mit hoher Wahrscheinlichkeit echt. Solche Daten können im Hintergrund still an Datenbroker weitergegeben werden, ohne ein Modal wie „TikTok möchte auf deine Kontakte zugreifen“.
    • In einem mittelgroßen, auf Verbraucher ausgerichteten Unternehmen hatten wir ähnliche Kunden. Sie suchten auf LinkedIn nach Produktmanagern oder Directors, kontaktierten sie über im Internet gefundene Telefonnummern oder private E-Mail-Adressen oder hinterließen Beschwerden in Kommentaren zu Fotos, die Familienmitglieder gepostet hatten.
      Am Ende wurden sie verwarnt, das nicht wieder zu tun; beim zweiten Verstoß gab es härtere Maßnahmen. In einigen Fällen schaltete sich sofort die Rechtsabteilung des Unternehmens ein, und wegen Leuten, die mit impliziten Drohungen bekommen wollten, was sie wollten, war sogar von Ermittlungsbehörden die Rede.
      Daher verstehe ich, warum Unternehmen Kunden, die auf diese Weise vorgehen, schnell sperren.
    • Ich frage mich, ob du noch einmal angerufen hast, um gegen die Schließung durch CashApp zu protestieren.
    • Weil Vertriebs-Callbots an meine Nummer gekommen sind, lasse ich mein Handy stumm und gehe nicht ran, wenn ich die Nummer nicht kenne. Das ist wirklich unangenehm, weil ich mir Sorgen mache, was passiert, wenn meine Kinder einen Notfall haben.
  • Ich finde diese Art von Detailrecherche erfreulich. Artikel zum Datenschutz haben oft zu wenig technische Tiefe oder übertreiben, weil sie Datenschutzbedenken und Risikostufen nicht sauber unterscheiden.
    Viele verweisen auf Mozillas Untersuchung zu Datenschutzrichtlinien von Autos, aber das ist eher eine Zusammenstellung dessen, was die Anwälte der Autohersteller ihrer Ansicht nach in die Datenschutzrichtlinien aufnehmen mussten. Die Richtlinien deuten an, dass Gespräche im Auto aufgezeichnet werden können, und wahrscheinlich passiert das auch, aber sie gehen nicht in die technischen Details.
    Es bleiben zum Beispiel Fragen wie: Zeichnet ein Autohersteller während der gesamten Fahrt jedes Audiosignal auf und überträgt es? Werden nur Stichproben aufgezeichnet? Wird nur bei Sprachbefehlen aufgezeichnet, und die Anwälte haben dabei mögliche zufällig erfasste Daten breit abgesichert? Wo und wie lange wird gespeichert? Geht es an Dritte? Welche Systeme kann man abschalten, und beeinflusst das Funktionen, Garantie oder Versicherungsprämien?
    Solche Fragen können sich je nach Hersteller nahezu endlos unterscheiden. Viele Datenschutzmeldungen bleiben bei beängstigenden, aber schwach belegten Worst-Case-Szenarien stehen. Ohne Details und Möglichkeiten zur Verbesserung verbreitet man am Ende nur Zynismus.

    • Das sind keine Fragen mit festen Antworten. Aber die tatsächlich verfügbaren Daten gehen für mich persönlich weit über ein angenehmes Maß hinaus.
      Soweit ich weiß, hatte auch ein mir bekannter Autohersteller solche Richtlinien. Als unsere Organisation entschied, dass sie für eine bestimmte Region eine statistische Baseline brauchte, gingen ein paar Anrufe an die richtigen Personen, und kurz darauf erhielten wir in leicht anonymisierter Form eine hochpräzise Karte der Bewegungsprofile aller Fahrzeuge dieser Marke, die in diesem Zeitraum in der Region unterwegs waren.
    • Die Antwort auf „Wird die Garantie ungültig, wenn man es deaktiviert?“ lautet fast immer „nein“. In den USA kann ein Unternehmen die Garantie nicht für ungültig erklären, es sei denn, eine Änderung hat direkt oder indirekt einen Schaden verursacht.
    • Auf „Steigt die Versicherungsprämie stark, wenn ein Auto solche Systeme nicht hat?“ kann man ziemlich sicher mit Nein antworten.
      Versicherer erhöhen Autoversicherungsprämien aus vielen realen oder vorgeschobenen Gründen, aber nicht allein deshalb drastisch, weil ein Fahrzeug kein Aufnahmegerät hat.
      Manche Versicherer gewähren niedrigere Preise, wenn sie Zugriff auf die Fahrmuster der Versicherten bekommen und daraus ein geringeres Risiko ableiten. Aber das ist eine andere Frage.
  • Es gibt eine ganze Reihe ziemlich interessanter Tracking-Flows. Ich zahle meine Miete an eine Firma namens Bilt, und inzwischen habe ich festgestellt: Wenn ich bei Walgreens einkaufe, schickt Bilt mir per E-Mail den vollständigen Kassenbon mit allen gekauften Artikeln
    Im Beispiel heißt es: „Du hast bei Walgreens eingekauft und mit dem Neighborhood-Pharmacy-Vorteil Bilt Points gesammelt“, und es werden Artikel wie TOSTITOS, Preise, Punkte und sogar ausgeschlossene Artikel angezeigt
    Nach außen hin hoffe ich, dass sensible Artikel wie Plan B oder Kondome ausgeschlossen werden, aber ich frage mich, wie diese Daten von Walgreens zu meiner Mietzahlungsfirma fließen. Vielleicht wäre es besser, es gar nicht zu wissen und bar oder per Bankscheck zu zahlen

    • Das nennt man Level-3-Daten; Händler können sich dafür entscheiden, sie bereitzustellen, um ihre Transaktionsgebühren zu senken
      Vor ein paar Monaten gab es dazu auch einen kurzen Kommentar-Thread: https://news.ycombinator.com/item?id=41213632
    • Dort steht, dass „Bilt-Mitglieder für Walgreens-Einkäufe mit jeder Karte, die mit ihrem Bilt-Konto verknüpft ist, Punkte erhalten können“
      https://support.biltrewards.com/hc/en-us/articles/2901187842...
      Weiter unten, im Abschnitt zu FSA/HSA-Vorteilen, steht ausdrücklich, dass Bilt Daten auf Artikelebene erhält
      https://www.biltrewards.com/terms/walgreens
    • Das sah nach zustimmungsbasiertem Opt-in aus. Zumindest wirkte es so, als unser Vermieter auf Bilt umgestellt hat
      Im Bilt-Profil gibt es einen Bereich, der anzeigt, ob andere Kreditkarten verknüpft sind; schon dass die Karten dort überhaupt in einer Liste auftauchen, ist ziemlich unheimlich
      Ich habe das definitiv deaktiviert. Bilt ist letztlich ein großes Punkte- und Rewards-Programm, und wenn man es verknüpft, kann man wohl Punkte bekommen
      Bilt’ Geschäftsplan kenne ich noch nicht genau, aber im Kern scheint es darum zu gehen, möglichst viele Finanzdaten von Menschen zu sammeln und dafür Partnerschaften mit Vermietern einzugehen. Da es das Zahlungsmittel für die Miete ist, kann man sich auch nicht einfach vollständig abmelden; womöglich müsste man dem Vermieter dann einen Papierscheck per Post schicken
    • Ich hatte schon mit Bilt zu tun [0]. Falls es nicht bekannt ist: Bilt hat eine „Funktion“ namens Instant Link, die automatisch alle persönlichen und sensiblen Finanzdaten wie Kreditkartenkonten und Kontostände von Finanzinstituten abruft. Das scheint über eine Partnerschaft mit einer Firma namens Method Financial [1] zu laufen
      Es war aufdringlicher als jede Software, die ich bisher benutzt habe, und ich weiß nicht einmal, ob das legal ist. Aber in den USA, wo es praktisch keine echten Datenschutzrechte gibt, ist so etwas möglich
      Statt Nutzer diese Zugriffsebene bewusst wählen zu lassen, werden sie bei der Kontoerstellung automatisch registriert, die Daten werden abgerufen, und erst danach darf man „opt out“ wählen. Dann hatten sie in jedem Fall bereits Zugriff auf persönliche und sensible Finanzdaten. Wenn ein Gebäude die Miete über Bilt einzieht, ist ein Konto faktisch Pflicht; das System ist also so gestaltet, dass Millionen Menschen ihre Daten weitergeben, ohne es zu merken
      In den Datenschutzeinstellungen von Bilt gibt es Optionen, die man deaktivieren kann, darunter Instant Link; ich empfehle, alles auszuschalten. Angesichts der fragwürdigen Praktiken dieses Unternehmens fällt es allerdings schwer zu glauben, dass diese Einstellungen tatsächlich eingehalten werden
      Wusstest du, dass eine Firma namens Method Financial irgendwie Echtzeitzugriff auf deine gesamten persönlichen und sensiblen Finanzdaten hat? Wusstest du, dass diese Firma, von der du vermutlich noch nie gehört hast, diesen Zugriff an den Höchstbietenden verkauft? Erinnerst du dich, dem irgendwo zugestimmt zu haben? Ich auch nicht
      [0]: https://www.biltrewards.com
      [1]: https://methodfi.com
    • Wenn man sagt: „Ich zahle bar oder per Bankscheck“, sollte man auch die ausgefeilte und weit verbreitete Gesichtserkennungstechnologie kennen, die große Einzelhändler einsetzen. Selbst wenn man bar bezahlt, kann es trotzdem mit einem selbst verknüpft werden. Offiziell natürlich zur „Betrugsprävention“
  • Zur Frage „Warum müssen sie Bildschirmhelligkeit, Speichergröße, aktuelle Lautstärke und ob Kopfhörer getragen werden wissen?“: Das scheint weniger dazu zu dienen, die Präzision von Werbeauktionen zu erhöhen, sondern eher dazu, zusätzliche Entropie hinzuzufügen, um Nutzer app-übergreifend zu deanonymisieren

    • Es wäre cool, solche Informationen als Fake-Profile zu senden, damit falsche Browser-Fingerprints zu erzeugen und Tracker zurückzuverfolgen. Man könnte auch viel zufälliges Rauschen erzeugen, um das echte Signal zu verbergen oder ihnen die Arbeit zumindest deutlich zu erschweren
    • Es geht weniger darum, „Entropie hinzuzufügen, um zu deanonymisieren“, sondern darum, durch zusätzliche Informationsbits die Entropie zu verringern
    • Das ist auch für Werbewirkung und allgemeine Manipulation nützlich. Solange man Tracking- und Kaufdaten verknüpfen kann, kann man Thompson Sampling einsetzen. Eigentlich fällt mir kein Grund ein, warum es aus geschäftlicher Sicht schlecht sein sollte, den Namen einer Person zu kennen
    • Offensichtliches Fingerprinting ohne Zustimmung ist völlig irre
    • Ich arbeite in dieser Branche und kenne mich damit aus
      Neue Versionen eines Werbe-SDK brauchen lange, bis sie verbreitet sind. Üblicherweise rechnet man damit, dass es nach Veröffentlichung einer neuen Version etwa sechs Monate dauert, bis 50 % des Werbetraffics von dieser oder einer neueren Version stammen. Außerdem wird bei jeder Version etwa 1 % des Traffics nach dieser Version nie wieder aktualisiert
      In so einer Welt ist es geschäftlich sinnvoll, übermäßig viele Daten zu sammeln, besonders wenn man glaubt, dass es niemand herausfindet. Dinge wie gesamter und freier Speicherplatz wirken zunächst nicht unmittelbar nötig. Wenn ein Werbekunde aber sagt: „Ich möchte pro Tag Werbung im Wert von 1 Mio. Dollar für ein 10-GB-Spiel schalten, aber nur auf Geräten, auf denen es installiert werden kann“, wird die Information, dass ein Gerät nur 8 GB Speicher oder nur noch 100 MB frei hat, plötzlich nützlich
      Wenn man den Speicherplatz nicht erfasst hat, muss man ihn jetzt ins SDK aufnehmen. Bis zur Veröffentlichung des neuen SDK vergehen 1–2 Monate, bis nennenswerter Traffic erreicht ist 3 Monate, und bis 50 % erreicht sind noch einmal 3 Monate. Bei linearem Wachstum verdient man in 7 Monaten 22,5 Mio. Dollar; hätte die Logik von Anfang an existiert, wären es im selben Zeitraum 210 Mio. Dollar gewesen. Für die Business-Seite ist das eine einfache Entscheidung
      Es gibt Lösungen, aber alle haben Nachteile. Wenn man einschränkt, welche Daten Werbefirmen sammeln dürfen, sinkt der Wert der Werbung. Unternehmen entfernen allerdings auch Daten wie Standort, die wenig Wert und hohes Risiko haben. Ich fände es besser, ein Modell zu unterstützen, bei dem Werbecode unabhängig von der App aktualisiert werden kann, aber Apple macht keine Anzeichen, das bald zu tun, und Googles Antwort ist so chaotisch, dass ich es in den nächsten vier Jahren nicht für realistisch halte
      Nebenbei: Die Bildschirmhelligkeit ist eine sehr grobe Proxy-Variable zur Schätzung des Nutzeralters
  • „Bei LTE wären Längen- und Breitengrad viel genauer gewesen“ ist falsch. Ohne Standortberechtigung kann eine App nicht auf Cell-ID-Informationen zugreifen, und mit Berechtigung könnte sie einfach direkt den Standort anfordern.
    Auch die Formulierung „eine kostenlose App sammelt genaue Standorte und Zeitstempel“ ist alarmistisch und in sich unstimmig. Denn der Autor hat ein paar Absätze zuvor selbst eingeräumt, dass „der geteilte Standort nicht besonders genau war“.
    Es ist möglich, dass eine App über die Standortdienste einen genauen Standort anfordert, aber diese App verlangt eine solche Berechtigung nicht. Unter Android lässt sich das prüfen; unter iOS ist es vor Installation und Ausführung schwierig zu sehen, welche Berechtigungen angefordert werden. Solche Apps sind aber mit ziemlicher Sicherheit auf einen „nicht besonders genauen“ Standort beschränkt.
    Theoretisch dürfen Werbebörsen ohne IDFA keine Ausweich-ID erstellen, die Cross-App-Tracking ermöglicht. Das ist jedoch schwer durchzusetzen.
    „Wenn ein Nutzer den Advertising Identifier zurücksetzt, dürfen Sie den vorherigen Advertising Identifier und daraus abgeleitete Informationen weder direkt noch indirekt mit dem zurückgesetzten Advertising Identifier kombinieren, korrelieren, verknüpfen oder in Beziehung setzen.“
    https://developer.apple.com/support/terms/apple-developer-pr...

    • Mobilfunkanbieter würden diese Informationen bereitwillig an Apps verkaufen. Wenn der Aufruf über das Mobilfunknetz erfolgt, liefern sie sie zurück, selbst wenn WLAN aktiviert ist. Standortdienste sind dafür nicht erforderlich.
    • Schon ein Standort auf Postleitzahlenebene plus Zeitstempel ist ziemlich invasiv. Selbst wenn es streng genommen nicht „sehr genau“ ist.
      Es wäre interessant zu vergleichen, ob sich die übertragenen Daten in Ländern mit besseren Datenschutzgesetzen unterscheiden.
  • Weil „darum gebeten wurde, nicht zu tracken“, wurde die Advertising Tracking ID auf 000000-0000 gesetzt. Beim Vergleich der Anfragen, während die Tracking-Option der Stack-App aus- und wieder eingeschaltet wurde, stellte sich heraus, dass das der einzige Unterschied war.
    Ich fand Apples merkwürdige Formulierung „Ask App not to track“ verdächtig, weil sie Spielraum lässt. Die App trackt vielleicht nicht über die ID, aber wenn viele andere Daten übertragen werden, lässt sich leicht ein Nutzer-Fingerprint erstellen. Auch ohne eindeutige ID können in 99 % der Fälle genug Daten geliefert werden, um einen Nutzer wiederzuerkennen.
    Modifizierte Dead Privacy Theory: Die Dead Internet Theory besagt, dass der Großteil der Internetaktivität von Bots stammt [0]. Die Dead Privacy Theory besagt, dass fast alle privaten Daten in Wirklichkeit nicht privat sind und dass Data Scientists, Software Engineers, Analysten, Datenbankadministratoren und Dritte mit Datenbankzugriff darauf zugreifen können, wenn sie es nur wollen.
    [0] https://en.wikipedia.org/wiki/Dead_Internet_theory

    • Apple setzt die Advertising Tracking ID auf 00000-0000, weil das die einzige technische Kontrollmöglichkeit ist, die sie haben. Apps müssen dieses Signal aber auch bei anderen Formen von Cross-Site- und Cross-App-Tracking respektieren und Fingerprinting-Mechanismen abschalten.
      Mehr dazu steht unter https://developer.apple.com/app-store/user-privacy-and-data-....
  • Allein mit Bildschirmhelligkeit, Boot-Zeit, Speicher und Netzbetreiber dürfte sich nahezu jedes Gerät per Fingerprinting identifizieren lassen.

    • Viele Leute haben automatische Helligkeit aktiviert. Deshalb dürfte die Helligkeit hier nicht besonders viel helfen.
  • Wenn man Hacker News liest, ist das interessant: IT-Leute, die Software bauen, welche die Werbe- sowie Datenverkaufs- und Tracking-Industrie ermöglicht und davon profitiert, gehören zugleich zu deren schärfsten Kritikern. Kaum zu glauben.

    • Wahrscheinlich liegt es daran, dass Leute wie wir das Ausmaß und die Folgen solcher Datenschutzverletzungen besser erkennen. Die meisten sehen die Realität nicht mit eigenen Augen. Irgendwo im Hinterkopf wissen sie zwar, dass es passiert, aber es fühlt sich nicht real an. Wenn man weiß, dass sich technisch ein Bericht über alle Nutzer mit installiertem Grindr ziehen lässt, wird es sehr real.
      Die meisten würden wohl nicht gern an solchen Orten arbeiten, aber wir müssen auch unseren Lebensunterhalt verdienen. Und auf diese Entscheidungen haben wir kaum Einfluss.
      Kürzlich habe ich in meiner Firma die Vorstellung eines neuen IoT-Produkts gehört und sofort gefragt, warum es kein offenes Standardprotokoll wie Matter unterstützt. Die Antwort war: auf keinen Fall, weil das Marketingteam die Kunden dazu bringen will, die App zu sehen, um „Metriken“ und Upselling zu bekommen. Ich sagte, schön, aber ich selbst werde diesen Müll niemals verwenden, und wurde einfach ignoriert. Es gibt zu wenige Leute wie mich, als dass es jemanden kümmern würde. Man macht sich im Unternehmen unbeliebt, geht hohe Risiken ein und erreicht nichts. Die Idee „kämpfe nicht dagegen, mach mit und verändere es von innen“ ist ein Irrtum.
    • Ich entwickle interne Software für ein nicht technisches Unternehmen und habe noch nie auch nur einen Dollar Umsatz generiert.
    • Man sollte nicht so tun, als wären alle auf Hacker News identisch und würden genau dasselbe machen. In Wirklichkeit ist es eher so, dass einige wenige Unternehmen solche Dinge ermöglichen und die jeweiligen Marketingabteilungen dann sagen: „Oh, das will ich auch.“
    • Es gibt keinen Verhaltenskodex und kein Regelwerk, dem man folgen müsste, also wird Ethik auf individueller Ebene entschieden. Dann wird daraus schnell: „Wenn ich es nicht baue, baut es der Nächste“, und Widerstand gilt als sinnlos.
      In den meisten anderen Ingenieurdisziplinen gibt es öffentliche Regeln und Standards sowie berufliche Zulassungen, und Ethik ist darin eingebunden. Wenn man wegen Ethikverstößen seine Zulassung verliert, kann in vielen Fällen die Karriere selbst vorbei sein.
    • Es wirkt, als würden hier zwei unterschiedliche Gruppen künstlich zusammengeworfen. Die meisten entwickeln keine Software, die auch nur in die Nähe dieses Bereichs kommt.
  • Vor langer Zeit hatte ich die Idee, einen Server zur Verantwortlichkeitsverfolgung zu bauen. Das große Ganze wäre, eindeutige Zugangsdaten zu erstellen, um bis zur Quelle nachzuverfolgen, wer meine Informationen verkauft hat.
    Es gibt auch heute schon einige Methoden, aber ich glaube, es ist an der Zeit, das erneut zu untersuchen. Wenn man es als VPN/Proxy+App anbietet, die auf einem Server zu Hause läuft, meine Daten direkt sammelt und bei der Kontoerstellung eindeutige Zugangsdaten einträgt, könnte man vielleicht ziemlich viel herausfinden.
    Da es wie ein Man-in-the-Middle agieren kann, könnte man die Herkunft der Zugangsdaten als Kommentar hinterlassen und Anzeigen beobachten, um sie bis zur Quelle zurückzuverfolgen. Etwa: „Diese Anzeige für Potenzmittel hängt mit Ihrem Reifenkauf zusammen.“
    Es gibt noch viele grob von Hand skizzierte Ideen, aber ich frage mich, ob man so etwas bauen könnte. Der erste Schritt, solche Dinge zu verhindern, besteht darin, den Leuten zu zeigen, wer es getan hat.

    • Es besteht kein Zweifel daran, wer die relevanten Akteure sind.
      https://developers.google.com/authorized-buyers/rtb/openrtb-...
    • Müsste man dafür nicht Zugriff auf die Daten auf der Bieterseite haben? Der Originalbeitrag sagte, das sei recht einfach, aber einer Firma, die diesen Zugriff nutzt, um Werbetreibende bloßzustellen, würde der Zugang sehr schnell entzogen. Wie das Sprichwort sagt: „Petzen zahlen den Preis.“
    • Das geht nicht. Denn die Erzeugung findet in proprietärer Software statt, die an die App gebunden ist, und schlimmer noch, irgendwo auf einem Server.
  • Ich frage mich, wie MAID/IDfV in PII-ID-Datenbanken gelangt.
    Dieser Teil scheint völlig zu fehlen. Vielleicht habe ich ihn auch übersehen.
    Können das zum Beispiel Fluggesellschaften, Telekommunikationsanbieter oder Stromversorger verkaufen, wenn man ihre App nutzt?