这些应用程序包括消息传递应用程序,免费的视频和文件转换器,几个约会网站以及宗教和祈祷应用程序-根据最新研究,迄今为止,每个应用程序都下载了数千万。
ExpressVPN数字安全实验室的首席研究员Sean O’Brien和Defensive Lab Agency的联合创始人Esther Onfroy发现了近200个Android应用程序,这些应用程序在过去的某个时刻包含X-Mode跟踪代码。
直到12月,Apple和Google告诉开发人员从其应用中删除X-Mode或面临来自应用商店的禁令时,某些应用仍在向X-Mode发送位置数据。
但禁令生效几周后,即使它仍在向X-Mode发送位置数据,仍然可以从Google Play下载一款已安装数十万次的美国大众运输地图应用。
这项新的研究现已发表,据信是迄今为止与X-Mode合作的应用程序的最广泛的评论,X-Mode是数十亿美元行业中数十家公司之一,该公司买卖从普通电话应用程序收集的位置数据的访问权,通常是出于投放定向广告的目的。
但X-Mode因其与政府工作的关系而受到了更多的审查,据最新报道称,美国情报机构在未先获得逮捕证的情况下购买了商业位置数据的访问权,以搜索美国人过去的动向。
X-Mode付钱给应用程序开发人员包括其跟踪代码(称为软件开发套件或SDK),以换取收集和移交用户的位置数据。用户通过接受应用的使用条款和隐私政策来选择加入此跟踪。但是,并非所有使用X-Mode的应用程序都向其用户披露其位置数据可能会最终归入数据经纪人或出售给军事承包商。
X-Mode与军事承包商的关系(并扩展为美国军方)是由Motherboard首次披露的,该报告首次报道,全球下载量超过9800万的流行祈祷应用程序向X-Mode发送了精确的运动数据。
去年11月,母板发现另一个未报导的穆斯林祈祷应用程序Qibla Compass将数据发送到X-Mode。奥布赖恩(O’Brien)的发现证实了这一点,并指出了另外一些针对穆斯林的应用包含X模式。通过进行网络流量分析,Motherboard验证了这些应用程序中至少有3个在某个时候确实将位置数据发送到X-Mode,尽管Google Play当前没有该版本。您可以在此处阅读主板的完整故事。
X-Mode的首席执行官Josh Anton去年告诉CNN,该数据经纪人在美国跟踪了2500万台设备,并告诉Motherboard其SDK已在大约400个应用中使用。
“考虑到X-Mode收集了与大多数广告SDK类似的移动应用数据,因此X-Mode的SDK禁令对生态系统的影响更大。苹果和谷歌树立了一个先例,即即使我们的大多数发布商都同意收集和使用位置数据,他们也可以确定私营企业收集和使用移动应用程序数据的能力。
我们最近已致信Apple和Google,以了解我们如何才能最好地共同解决此问题,以便我们既可以继续使用位置数据来挽救生命,又可以继续增强技术社区构建基于位置的产品的能力。我们认为,重要的是,在收集和使用位置数据时,确保Apple和Google将X-Mode保持与自己的标准相同。”
研究人员还发布了新的终结点,已知使用X-Mode的SDK的应用程序可以与之通信。O’Brien表示,他希望这可以帮助其他人发现哪些应用程序正在向X-Mode发送或曾经发送过用户位置数据。
“我们希望消费者能够确定他们是否是这些位置跟踪器之一的目标,更重要的是,要求这种间谍活动结束。我们希望研究人员能够出于公共利益而利用我们的发现,帮助揭示隐私,安全和权利面临的这些威胁,”奥布莱恩说。
TechCrunch在研究人员的研究结果中分析了大约两千个下载量最大的Android应用程序的网络流量,以查找与任何已知X-Mode端点进行通信的应用程序,并确认其中一些应用程序正在某个时刻发送位置数据转换为X模式。
我们还使用了研究人员确定的端点来寻找可能已经与X-Mode通信的其他流行应用。
TechCrunch确认至少有一个应用通过了Google的应用商店禁令。
根据Sensor Tower提供的数据,New York Subway是一款用于导航纽约市地铁系统的流行应用程序,该应用程序已下载25万次,但截至本周仍在Google Play中列出。但是,自从应用商店禁令实施以来尚未更新的应用仍在向X-Mode发送位置数据。
应用加载后,启动屏幕会立即征求用户同意,将数据发送到X-Mode进行广告,分析和市场调查,但该应用并未提及X-Mode的政府工作。
以色列应用程序制造商Desoline并未回应多条评论请求,但在我们联系后不久,便从其隐私政策中删除了对X-Mode的引用。在撰写本文时,该应用尚未返回Google Play。
利用研究人员的应用程序列表,TechCrunch还发现,两个迄今为止非常流行的应用程序(Moco和Video MP3 Converter)的先前版本仍在向X-Mode发送用户位置数据,而Moco和Video MP3 Converter迄今已下载超过1.15亿次。这对从Google Play外部安装Android应用程序的用户以及正在运行仍将数据发送到X-Mode的较旧应用程序的用户构成了隐私风险。
两家应用程式制造商均未回应置评请求。 Google不会说是否已删除任何其他类似违规应用程序,或者将采取什么措施保护运行旧版应用程序的用户,这些用户仍在向X-Mode发送位置数据。
经过我们测试的Apple iOS的相应应用和同名应用似乎都没有与X-Mode的端点通信。禁令生效后,苹果拒绝透露是否阻止了任何应用程序。
奥布赖恩说:“智能手机中的传感器提供了丰富的数据,可以利用这些数据来限制我们的动作,自由的表情和自主性。” “位置监视对人权构成了严重威胁,因为它会窥视我们生活中最敏感的方面以及与我们交往的人。”
这项最新发表的研究可能会给普通的智能手机应用程序如何在未经用户明确同意的情况下如何收集和出售数百万美国人的大量个人数据带来新的审查。
政府监管机构正在对包括联邦国税局和国土安全部在内的几个联邦机构进行调查,要求他们在不先获得授权的情况下购买和使用来自各种数据经纪人的位置数据。上周发现,美国国防情报局的情报分析师购买了美国人位置数据的商业数据库的访问权限。
批评人士说,政府正在利用最高法院2018年的一项裁决中的漏洞,该裁决阻止了执法部门在没有逮捕令的情况下直接从手机运营商那里获取手机位置数据。
现在,政府表示它不认为可以直接从经纪人那里购买东西不需要认股权证。
参议员罗恩·怀登(Ron Wyden)曾是声音保护区的批评者,其办公室一直在调查数据经纪业,他此前起草了立法,授予联邦贸易委员会新的权力来监管和罚款数据经纪人。 “美国人讨厌得知自己的位置数据被数据经纪人出售给持信用卡的任何人。 行业自我监管显然行不通-国会需要通过严格的立法,例如《我的自主经营法》,为消费者提供有效的工具,以防止其数据被出售,并赋予FTC权力,让公司在违规时承担责任 美国人的隐私,”怀登说。 通过Signal和WhatsApp安全地将提示发送至+1 646-755-8849。 您也可以使用SecureDrop发送文件或文档。