泄漏的位置数据显示另一个穆斯林祈祷应用程序正在跟踪用户

一位使用者穿过一个位于伊斯兰文化中心以南几个街区的公园。大约每两分钟，他们的电话就会报告其实际位置。另一个是在另一座清真寺两街对面的一家银行旁边。第三人在火车站附近，还是在清真寺附近。

这些人可能不知道，Salaat First（祈祷时报）是一个提醒穆斯林何时祈祷的应用程序，它正在记录其详细的位置信息并将其出售给数据代理，该代理又将位置数据出售给其他客户。主板从源头获得了应用程序用户原始，精确运动的大量数据集。提供数据集的消息来源担心，这种敏感信息可能会追踪穆斯林一天中的活动，包括拜访礼拜场所，这些信息可能会被购买和使用这些数据的人滥用。一家收集位置数据的公司（一家名为Predicio的法国公司）先前已与数据供应链相关，该数据涉及与ICE，海关与边境保护局以及FBI合作的美国政府承包商。

有关Salaat First的新闻已在Android上下载了超过1000万次，不仅突出了使用宗教应用程序收集位置数据的信息，还强调了该敏感信息在位置数据行业中的易买卖性。母板保留了有关数据集的一些细节，例如其确切大小，以保护数据源，但其意义很明显：很可能在未经知情同意的情况下跟踪关注穆斯林应用的用户。

一整天被跟踪可以提供很多信息，并且不能对您有用，尤其是当您不知道它时，＆＃34;消息人士说。母板授予了他们匿名身份，以避免受到雇主的影响。

您在Predicio或任何其他位置数据公司工作吗？你以前有吗您还知道其他有关位置数据销售的信息吗？我们希望收到您的来信。使用非工作电话或计算机，您可以通过+44 20 8133 5190在Signal上安全地联系Joseph Cox，在josephcox上通过Wickr安全地联系，在[email protected]上进行OTR聊天，或通过电子邮件[email protected]进行安全地联系。

主板之前曾报道过，另一个应用程序，穆斯林Pro如何销售其用户。位置数据发送给名为X-Mode Social的公司，该公司通过承包商向美国军方出售产品。在我们收到有关回教专业版的报告后，苹果和谷歌均禁止在各自的应用商店中使用X-Mode，这对该定位公司的未来提出了质疑。这项新的主板调查基于先前使用其他应用进行的第二次未报告的数据传输。

Salaat First也可在iOS上使用，但该版本不会将数据发送到Predicio。该应用程序会发送通知提醒用户何时祈祷，向他们显示在朝麦加指向时祈祷的方向，并根据用户当前的位置向用户显示附近的清真寺。

泄漏的数据本身包含应用程序用户的精确纬度和经度，他们的电话型号，操作系统，IP地址和时间戳。数据还包括用户的唯一广告ID，这是一种功能特别强大的数据，它可以使主板过滤特定用户的缓存，然后随时间跟踪该人的移动。数据集不仅限于Salaat First，还包括其他已将信息发送到Predicio的应用程序生成的数据。

Salaat First背后的开发人员Hicham Boushaba向Motherboard确认，他的应用发送了用户位置数据发送给Predicio。他说，在公司于2020年3月与Predicio取得联系之后，他实施了Predicio的软件开发工具包（SDK）（在本例中为一捆代码，用于收集位置数据）。仅当用户在英国，德国，法国或意大利下载了该应用程序时，数据收集才会初始化。

根据2020年8月政策的存档版本，Salaat First的网站上的隐私政策确实提到了Predicio。但是，当用户首次下载并打开Salaat First时，该应用在询问用户是否提出隐私政策时不会显示此隐私政策。根据主板的测试，用户是否同意共享其位置数据。该应用程序本身不包含其他地方的隐私权政策的副本或链接，这违反了Google Play商店的政策。

＆＃34;此应用程序使用您的位置来计算祈祷时间，朝拜方向并显示附近的清真寺，＆＃34;首次启动该应用程序时的免责声明如下。 ＆＃34;并且如我们的隐私权政策页所述，我们还可能与可信赖的第三方广告服务共享匿名的位置数据，并改善我们的服务，＆＃34;它会添加，而无需提及该应用正在销售用户。位置数据本身，而不是仅用于展示广告。

考虑到这一点，许多Salaat First用户不太可能获得该应用程序出售其位置数据的知情同意。

＆＃34;我不知道，＆＃34;当被告知位置数据收集时，一位Salaat First用户通过Twitter Direct Message告诉了Motherboard。

母板获得的数据集不是Predicio从Salaat First或其他应用程序收集的数据的全部范围，仅是快照。收集的数据总量可能比我们获得的样本中所包含的总量大得多。 Predicio没有响应多个评论请求，包括询问以下问题：公司向Salaat First用户出售数据的第三方，以及公司如何确保接收位置数据的客户不会滥用它。

上个月，主板和挪威广播公司NRK报道了Predicio如何成为连接到Venntel的复杂数据供应链的一部分，该公司是美国政府承包商，向执法机构出售位置数据，包括移民和海关执法局（ICE）以及海关和边境保护局（ CBP）。该调查发现，Ventel的母公司Gravy Analytics已从Predicio获得了数据。根据NRK与Motherboard共享的文件，Gravy然后将位置数据提供给Venntel。

该文章命名了一些向Predicio提供位置数据的应用程序，包括Fu *** Weather，这是一个下载量超过一百万的天气应用程序。报告发布后，网络安全公司卡巴斯基（Kaspersky）全球研究与分析团队主管Costin Raiu对Fu *** Weather应用进行了分析，并为主板提供了似乎是Predicio域的内容，该域嵌入了可能是Predicio网络一部分的应用中：＆＃34; sdk.predic.io＆＃34;。

从那里开始，母板通过反向工程单个应用程序，编译了包含与Predicio SDK相关代码的应用程序列表。母板找到了包含Predicio域的多个应用程序，包括Weawow（下载量超过一百万的天气应用程序）以及Salaat First。并非所有包含该域的应用程序都必须将数据发送到Predicio-有些可能已经测试过SDK，但尚未完全实现-但在某些情况下，这些应用程序的开发人员向母板确认他们确实已将数据发送到Predicio，并且其中包括许多应用程序在泄漏的数据集中匹配那些通过应用程序分析链接到Predicio的主板。

＆＃34;只有非常喜欢Weawow应用程序并希望在经济上以任何方式帮助我的用户才允许提供位置数据，＆＃34; Weawow的首席执行官Kei Shinohara在一封电子邮件中告诉Motherboard，并补充说，默认情况下，应用中的位置数据共享处于关闭状态。

Predicio的位置数据SDK称为＆Telescope，根据Motherboard对包含该代码的应用程序的分析，以及由于删除了Predicio文档而在网上找到的Motherboard。

＆＃34;构建可用的最准确的移动数据产品，＆＃34;该文档的一部分是由Predicio业务开发副总裁Adam Esjmont撰写的。该文档还提到Predicio的SDK可能会收集用户的哈希电子邮件以及该设备上安装了其他应用程序的列表。该特定数据未包含在主板获得的缓存中。

目前尚不清楚，也很难知道，Predicio收集的任何特定的Salaat First数据是否随后被发送到Gravy和Venntel。 Gravy Analytics首席营销官Jolene Wiggins在一封电子邮件中告诉Motherboard，＆＃34; Gravy Analytics不会许可我们任何位置数据供应商提供的应用程序信息（包括应用程序名称），＆＃34;这表明该公司不知道最终由哪些应用为其提供数据。 ＆＃34;我们所有的供应商均以合同方式向我们声明并保证，我们许可我们收集和共享的数据符合所有适用法律，＆＃34;她补充说。 （先前由NRK获取并与Motherboard共享的文档显示，Gravy有时会偶然从供应商处收到应用程序的名称，但Gravy不会要求提供此信息）。

在Motherboard和NRK的早期报道之后，Predicio短暂地使其网站脱机。当它返回时，它包含了一条新信息，试图与跟踪种族和宗教团体保持距离。

＆＃34; Predicio不支持旨在使用商业情报数据来识别种族，宗教或政治团体以进行人类追踪或任何形式的人员识别的任何政府，商业或私人用例。对于不遵循我们全球道德，社会和道德行为准则的用例，我们不容忍滥用解决方案。公司网站上的消息已阅读。尽管说它不支持用例来识别宗教团体，但该声明并未提及Predicio正在从一个专门针对穆斯林的应用程序中收集详细的位置数据。

美国-伊斯兰关系委员会国家执行董事Nihad Awad在一份声明中对主板说，鉴于这些最新启示，所有主要穆斯林应用程序的所有者都应彻底调查其公司如何处理用户数据。两家公司应该公开承认政府实体可能已经获得的任何确定的用户数据销售，然后采取透明的步骤以确保不再发生这种情况。＆＃34;

＆＃34;政府机构必须立即停止从流行的穆斯林数字应用程序中获取用户数据，以进行监视，监视或以其他方式瞄准美国，欧洲和其他地方的穆斯林社区。国会还应该进行公开调查，以充分说明此类数据在过去的使用情况，＆＃34;他加了。

位于英国的激进组织Foxglove的创始董事Cori Crider在一份声明中表示，该组织威胁要对回教Pro采取法律行动，此前专注于回教徒的应用程序Motherboard发现了销售位置数据，＆＃34;将开始流失用户-并可能在诉讼的最后阶段结束。苹果和谷歌也必须做得更好，以便将不信任的应用程序从其应用商店中引导出来。＆＃34;

多家应用程序开发商拒绝透露Predicio为位置数据支付了多少费用，因为他们已与公司签署了保密协议。无论如何，出售通过Play商店应用收集的个人或敏感用户数据的应用开发人员都违反Google的政策。 Google告诉Motherboard，这将包括位置数据。

Google发言人在一份声明中对主板说：“ Play商店禁止出售通过Play应用收集的个人或敏感数据。我们会调查与违反我们的政策的应用有关的所有索赔，如果我们确认违规，则会采取行动。＆＃34;

但是，Predicio多年来一直在从Android应用程序中收集位置数据并向开发人员付款，这引发了人们对Google对自己的政策缺乏执行力的质疑。

Salaat First开发人员Boushaba告诉Motherboard，他在2020年10月中止了Predicio数据收集，因为SDK导致安装了该应用程序的手机的电池使用率很高。然后，在阅读了有关X-Mode和Venntel使用位置数据的报告后，Boushaba说，他决定作为预防措施，于12月6日停止与Predicio的协议。

＆＃34;当我接受与Predicio的合作时，我的协议和想法是，所收集的数据将完全匿名化，并将与其他任何数据公司一样，用于广告个性化和/或产品改进，&& ＃34; Boushaba在一封电子邮件中说。 ＆＃34;但是当我阅读有关X-Mode的报告时，我担心Predicio或其合作伙伴可能会滥用这些数据，因此决定终止该协议。 Boushaba表示，他没有从运行该应用程序中获利，而是将产生的收入捐赠给了一些当地的慈善组织。

在Motherboard与Weawow取得联系后，该公司首席执行官Shinohara表示，他已切断向Predicio的数据传输，并将在几天之内完全删除该SDK，以更新该应用程序。

Fu *** Weather的开发商Lawiusz Fras说，此后他已停止与Predicio合作。

不幸的是，我不能分享任何细节，＆＃34;当被问及为何切断Predicio时，他在一封电子邮件中写道。

参议员罗恩·怀登（Ron Wyden）的办公室一直在对更广泛的位置数据行业进行调查，在一份声明中告诉母板，＆＃34; Google和苹果在禁止数据经纪人X-Mode时，为保护美国人的隐私迈出了良好的第一步去年社交。但是，一次禁止一家公司将是一场无休止的game鼠游戏。 Google和Apple必须禁止其应用商店中的每一个此类可欺骗性数据经纪人。

签署VICE新闻通讯，即表示您同意接收来自VICE的电子通讯，其中有时可能包含广告或赞助内容。