인기있는 10 가지 Android 앱을 분석 한 결과, 연구원들이 잠재적으로 민감한 정보를 제 XNUMX 자와 공유하여 "제어 불능"이라고 부르는 것을 발견했습니다. 일부 경우 유럽의 GDPR 개인 정보 보호 규정을 위반할 가능성이 있습니다.
연구 결과는 신고 노르웨이 소비자 협의회 (NCC)에서 발행 한 XNUMX 개의 소비자 지지자와 개인 정보 보호 그룹의 연합 부르다 연방 및 주 당국이 조사합니다. 또한 트위터는 광고 네트워크에서 Grindr (연구에 자세히 설명 된 앱 중 하나)을 부팅했다고합니다.
10 개의 앱은 생리 건강 추적기 인 Clue and My days로 선정되었습니다. 온라인 데이트 앱 Grindr, Happn, OkCupid and Tinder, 뷰티 앱 Perfect365, 종교 앱 이슬람교 : Qibla Finder, 게임 My Talking Tom 2 및 키보드 앱 Wave Keyboard. 사이버 보안 회사 인 Mnemonic은 2019 년 XNUMX 월부터 XNUMX 월까지 앱에서 기술 테스트를 수행하여 통합 소프트웨어 개발 키트 (SDK) 및 기타 타사 도구를 사용하여 데이터를 기록하고 파트너와 공유 할 수 있는지 확인했습니다.
전체적으로 10 개의 앱은 광고 또는 행동 프로파일 링에서 역할을 수행하는 135 명의 고유 한 제 XNUMX 자에게 사용자 데이터를 전송하여 마케팅 담당자가 이상적인 잠재 고객을 타겟팅하는 노력을보다 효과적으로 최적화 할 수 있도록 지원하는 것으로 밝혀졌습니다. 보고서에 따르면 많은 사용자가 이러한 회사에 대해 들어 본 적이 없으며 자신의 데이터를 수집하고 있음을 알 수 있습니다.
모바일 장치 사용자에게는 다양한 고유 한 숫자 식별자가 할당되어 마케팅 및 adtech 업계 플레이어는 수많은 정보를 수집하여 이러한 식별자와 연결하고 광고 목적으로 복잡하고 정확한 사용자 프로필을 만들 수 있습니다. 이러한 식별자 중 하나는 Android 광고 ID이며 회사에서 여러 서비스의 소비자를 추적 할 수 있습니다. 10 개 앱 모두이 형식의 식별자를 70 개 이상의 타사 파트너에게 전송했습니다.
그 중 단 한 곳 (Wave Keyboard) 만 중지했으며 나머지 XNUMX 개는 파트너와 추가 정보를 공유했습니다. “이 정보에는 사용자의 IP 주소 및 GPS 위치, 성별 및 연령을 포함한 개인 속성 및 다양한 사용자 활동이 포함되었습니다. 이러한 정보는 광고를 통해 이러한 사용자를 추적 및 타겟팅하고, 사용자 및 자신과 같은 소비자를 프로파일 링하고, 성적 취향 및 종교적 신념을 포함하여 매우 민감한 추론 속성을 유추하는 데 사용될 수 있습니다.”라고 보고서는 말합니다.
이러한 정보는 광고주에게 도움이되지만 회사가 개별 사용자를 개인적으로 식별하고이를 감시하거나 자신의 특성에 따라 사람들을 차별 할 수 있도록합니다. 또한 악의적 인 행위자가 이러한 데이터를 유출하거나 액세스하는 경우 사용자의 신원 도용 및 협박이 발생할 수 있으며 보고서는 계속됩니다.
연구 한 135 개의 앱 중 10 개의 타사 파트너에는 모바일 앱 광고 플랫폼 MoPub를 통해 Facebook, Google 및 Twitter와 같이 널리 알려진 이름이 포함됩니다. 또한 고객 관계 관리 및 모바일 마케팅 자동화 소프트웨어 제공 업체 인 Braze와 같은 업체도 포함됩니다. 모바일 광고 및 마케팅 플랫폼 AdColony 및 모바일 푸시 알림 서비스 OneSignal.
NCC에 따르면 연구원들은 그라인더가 사용자의 GPS 좌표 IP 주소, 연령 및 성별을 특정 파트너에게 보내고 특정 관계자에 대한“관계 유형”에 대한 정보를 Braze (Braze는 사용자의 Android 광고 ID를받지 못했지만) ).
보고서는“Twitter의 adtech 자회사 인 MoPub는 이러한 데이터 공유를위한 중재자로 사용되었으며, 주요 adtech 회사 인 AppNexus 및 OpenX를 포함한 여러 다른 광고 회사에 개인 데이터를 전달하는 것이 관찰되었습니다. "이러한 제 XNUMX 자 중 다수는 수집 한 데이터를 매우 많은 파트너와 공유 할 권리가 있습니다."
NCC 보고서가 발표 된 직후 트위터는 Grindr의 MoPub 계정을 일시 중지하고이 진술을 다양한 사람들에게 제공했습니다. 미디어 아울렛:“현재 Grindr의 동의 메커니즘이 충분한 지 이해하기 위해이 문제를 조사하고 있습니다. 그 동안 Grindr의 MoPub 계정을 비활성화했습니다.”
동료 데이트 앱 틴더는 GPS 파트너와“타겟 성별”을 특정 파트너에게 보내는 것으로 밝혀졌습니다. 한편 OkCupid는 성, 약물 사용, 정치적 견해 등에 대한 사용자 제공 데이터를 Braze와 공유했습니다.
“현재 애드 테크 산업이 작동하는 방식에 따라 개인 데이터는 거의 제한없이 방송되고 전파되고 있습니다. 기본권에 대한 다수의 위반은 초당 프로파일 링 및 타겟팅 광고라는 이름으로 초당 수십억 번의 비율로 발생합니다. 인터넷을 통해 감시 시스템을 운영하고 온라인에서 잘못된 정보를 제공하는 경제적 인 원인이되는 감시 중심의 광고 시스템이 약간 더 관련성 높은 광고를 게재 할 가능성에 대한 공정한 절충인지 여부에 대해 진지한 토론을 할 시간입니다.” 결론.
“매일 수백만 명의 미국인이이 앱에서 가장 친밀한 개인 정보를 공유하고, 개인 사진을 업로드하고, 기간을 추적하고, 성적 및 종교적 정체성을 밝힙니다. 그러나 이러한 앱과 온라인 서비스는 사람들을 염탐하고 방대한 양의 개인 데이터를 수집하여 사람들 모르게 타사와 공유합니다. 업계는 그것을 adtech라고 부릅니다. 우리는 이것을 감시라고 부릅니다. 너무 늦기 전에 지금 규제를해야합니다.”캘리포니아, 텍사스, 오레곤 주 의회, FTC, 주 AG에 편지를 보낸 XNUMX 개 단체 중 하나 인 Public Citizen의 디지털 권리 프로그램 책임자 인 Burcu Kilic은 말했다. 조사.
이 서한에 서명하는 다른 기관은 캘리포니아 주 미국 시민 자유 연합 (American Civil Liberties Union), 상업용 무상 아동 캠페인, 디지털 민주주의 센터, 소비자 행동, 미국 소비자 연맹, 소비자 보고서, 전자 개인 정보 보호 센터 (EPIC)입니다. 미국 공익 연구 그룹.
Mnemonic의 수석 보안 컨설턴트이자이 프로젝트의 수석 연구원 인 Andreas Claesson은“테스트의 목적은 모바일 광고 생태계에 대한 이해를 높이는 것이 었습니다. 블로그 게시물. "특히, 우리는 샘플 앱 세트에서 사용자 데이터를 수집하는 주요 행위자를 식별하고 데이터 흐름의 유형과 빈도를 이해하며 전송되는 특정 정보를 조사하는 것을 목표로했습니다."
응용 프로그램 보안 책임자이자 수석 컨설턴트 인 프로젝트 파트너 인 Tor Bjørstad는“데이터 공유 량에 놀랐습니다. “이 프로젝트의 주요 동기는 모바일 플랫폼의 광고 산업 내에서 데이터 수집, 공유 및 처리에 대한 이해가 부족하다는 것입니다. 현재 업계 관행을 문서화 한이 작업이 사용자 데이터를 수집하고 모바일 광고에 사용하는 방법에 대한 토론을 시작하는 데 도움이되기를 바랍니다.”
SC Media는 공식적인 의견을 요청하기 위해 10 명의 소프트웨어 개발자 각각에 대한 보도 자료를 찾으려고 시도했습니다. SC Media는 접수 된 의견을 추가 할 것입니다.
