美国政府承包商Anomality Six通过嵌入500多个应用程序的SDK从全球数亿部手机收集和销售位置数据

2020-08-08 01:05:24

华盛顿--“华尔街日报”(The Wall Street Journal)查阅的采访和文件显示,一家与美国国防和情报界有联系的美国小公司已经将其软件嵌入到众多移动应用程序中,使其能够跟踪全球数亿部手机的动向。

由两名具有情报背景的美国退伍军人创立的弗吉尼亚州公司Anomality Six LLC在营销材料中表示,该公司能够从500多个移动应用程序中提取位置数据,部分是通过自己的软件开发工具包(SDK),该工具包直接嵌入到一些应用程序中。如果消费者允许包含该软件的应用程序访问手机的GPS坐标,SDK将允许公司获取手机的位置。

应用程序发行商通常允许第三方公司付费将SDK插入到他们的应用程序中。SDK制造商随后出售从应用程序中获得的消费者数据,应用程序发行商将获得一大笔收入。但消费者没有办法知道SDK是否嵌入到应用程序中;大多数隐私政策都不会披露这些信息。Anomality Six表示,它在一些应用程序中嵌入了自己的SDK,在其他情况下,它会从其他合作伙伴那里获得位置数据。

Anomality Six是一家联邦承包商,向美国政府的分支机构和私营部门客户提供全球定位数据产品。该公司告诉“华尔街日报”(Wall Street Journal),它只限制向非政府、私营部门的客户出售美国手机移动数据。

美国政府的许多机构已经得出结论,联邦机构从广告中获得的移动数据是合法的。据“华尔街日报”报道,几家执法机构正在利用此类数据进行刑事执法,而众多美国军方和情报机构也在获取此类数据。

广告和营销界的许多私营公司买卖地理位置数据,有时会将其转售给政府机构或承包商。但由一家与美国国家安全机构关系密切的企业直接收集此类数据是不寻常的。

法庭记录和采访显示,异常六号是由国防承包退伍军人创立的,他们在职业生涯的大部分时间里与政府机构密切合作,并创建了一家公司,部分迎合国家安全机构的需求。

“华尔街日报”审查了为军方官员准备的文件,其中描述了该公司的能力。该公司在最近一次向参议员罗恩·怀登(Ron Wyden)办公室的简报中还解释了自己的商业做法,怀登的工作人员随后向“华尔街日报”描述了这一情况。这位俄勒冈州民主党人一直在对出售美国人的位置数据进行调查。

该公司在回答本文问题时表示:“Anomality Six是一家经验丰富的小企业,负责处理和可视化来自移动设备的位置数据,以进行分析和洞察。”我们利用来自众多第一方来源的详细位置数据提供对组、行为和模式的洞察。该公司表示,它承认政府对此类数据的使用进行了“严格的审查”,但表示它处理的所有数据都是商业上可用的,并符合所有法律。

美国政府从世界各地毫无戒心的用户那里批量获取手机数据是正确的吗?为什么或者为什么不?加入下面的对话。

异常六号表示,它将支持监管,要求应用程序更多地披露数据是如何收集和使用的。无法确定该公司与之合作的具体应用程序,该公司以保密协议为由拒绝置评。数据经纪人和应用程序制造商之间的合作伙伴关系通常是商业数据销售领域内严格保密的商业秘密。

营销专家、基于位置的营销协会(Location Based Marketing Association)创始人阿西夫·汗(Asif Khan)表示,政府获取消费者位置数据一直是该行业的一个长期问题。该协会是一个代表广告和营销公司的行业组织,负责处理位置数据。他说,应用程序制造商应该向消费者更透明地告知消费者,一旦收集到数据,可能会如何使用。

“你可以争辩说,政府和任何商业实体一样,有权购买这些数据,如果数据可以从商业供应商那里获得的话,”汗说。“但你也需要能够清楚地说,‘这些数据可能会被政府利用’。”

“我认为普通消费者毫无头绪,”他说。

在从应用程序中提取的数据中,每部手机通常由一个字母数字标识符表示,该标识符与手机所有者的姓名没有关联。但随着时间的推移,手机的移动模式可以让分析师推断出手机的所有权-例如,手机在晚上和夜间的位置很可能是手机所有者居住的地方。

世界各地的消费者经常对政府获取和使用这些数据一无所知。尽管从消费者应用程序收集数据,但Anomality Six在其网站上没有隐私政策,也没有在加州注册为数据经纪人。2018年通过的一项州法律通常要求公司详细说明他们是如何获取和使用消费者数据的。该公司表示,它不符合加州法律对数据经纪人的定义,也不需要注册。加州总检察长办公室没有回复记者的置评请求。

根据对众多业内人士的采访,美国对位置数据的买卖几乎没有监管,导致了一位业内资深人士所说的“狂野西部”。知情人士说,消费者开始期待免费的应用程序,应用程序制造商已经转向出售用户数据,以支付开发和运行该软件的成本。

Anomality Six的服务类似于一家名为巴别街(Babel Street)的公司,该公司为情报机构和执法机构提供社交媒体监控服务。两年前,巴别街(Babel Street)对Anomality Six及其创始人提起的诉讼,为人们提供了一扇窗口,让人们得以了解竞争激烈且基本上保密的市场,即向美国政府提供消费者定位产品。

诉讼称,Anomality Six的两名创始人曾在巴别街工作,并于2018年离职。

前陆军反间谍官员布兰丹·赫夫(Branda Huff)曾管理过巴别街与国防部的关系,也曾为许多其他国防承包商工作。法庭记录显示,另一位名叫杰弗里·海因茨(Jeffrey Heinz)的人也曾在美国陆军服役,曾管理巴别街与司法部、美国网络司令部(U.S.Cyber Command)、文职联邦机构和情报界的关系。

巴别街的一款名为“Locate X”的产品包括数百万部手机的位置记录,这些记录来自消费者应用程序。根据巴贝尔的诉讼,这两名前雇员开始制造一种产品来与之竞争。Anomality Six拒绝对这起诉讼置评,这起诉讼于去年达成庭外和解。

根据“华尔街日报”审查的合同和用户协议,巴别街并不公开宣传Locate X,并约束客户和用户甚至对其存在保密。根据法庭记录,Locate X是在美国政府官员的投入下开发的,被致力于收集“开源”情报(即从公开来源获取的信息)的军事情报单位广泛使用。联邦合同数据显示,巴别街还与国土安全部、司法部和许多其他民事机构签订了合同。巴别街没有回复记者的置评请求。

根据对知情人士的采访和“华尔街日报”查阅的文件,巴别街和Anomaly Six的产品都可以用来将以更传统的方式收集的情报与社交媒体数据、卫星图像和来自私营部门的消费者数据结合起来,从秘密的人力来源到秘密截获。

这些信息被收集到所谓的“生活模式”分析中,可以提供对潜在情报目标的习惯和行为的更丰富的理解,并可能预测他们未来的行为。

美国并不是唯一一个试图将移动位置数据用于战略优势的国家。美国国家安全局(National Security Agency)本月警告军方和情报界人员,出于对这些数据可能被对手用来泄露有关美国行动的敏感国家安全信息的担忧,要严格限制他们移动设备上的位置跟踪功能。

“华尔街日报”上个月还报道称,作为美国陆军一个项目的一部分,一组使用巴别街软件的学术研究人员能够监控俄罗斯军事设施的设备移动情况。

这样的爆料展示了即使是商业数据也能泄露世界上一些最安全的设施的敏感信息,并引发了人们对企业营销和政府监控之间界限模糊的隐私担忧。

“了解到像这样的公司声称拥有来自世界各地多年的位置数据,这真的很令人担忧。乔治敦大学(Georgetown University)法学教授、该校通信与技术法律诊所(Communications&Amp;Technology Law Clinic)主任劳拉·莫伊(Laura Moy)表示:“这样的爆料层出不穷。”

“用户不知道,当他们安装天气应用程序、游戏或任何其他无害的应用程序时,他们的私人位置数据将被收集和出售。显然,这就是这里正在发生的事情,我们对这种做法没有透明度,“莫伊说。

Anomality Six没有列在任何公共支出合同中,巴别街对政府实体的许多销售也没有反映在公开文件中。Anomality Six说,它与美国政府的合同是非机密的,但是保密的,而且在没有得到这些机构的许可的情况下,它不能透露它正在与哪些机构合作。