一個下載量超過9800萬的穆斯林祈禱應用程式,該程序供應鏈將普通人的個人數據發送給承包商和軍隊。
01
美國軍方正在購買從無害的應用程式中收集的世界各地人們的精細運動數據。在分析與此類數據銷售有關的一組Motherboard中,最受歡迎的應用是穆斯林祈禱和古蘭經應用,在全球範圍內下載量超過9800萬。其他包括穆斯林約會應用程式,流行的Craigslist應用程式,用於應對風暴的應用程式以及可用於幫助(例如)在臥室中安裝架子的「水平」應用程式。
數據供應鏈中涉及的應用程式的許多用戶都是穆斯林,這是值得注意的,因為美國已經對中東的主要穆斯林恐怖組織發動了長達數十年的戰爭,並在其戰爭中殺死了數十萬平民在巴基斯坦,阿富汗和伊拉克的軍事行動。主板不知道美國軍方曾使用過這種基於應用程式的位置數據的任何特定操作。將數據發送到X-Mode的應用程式包括MosquePro,該應用程式提醒用戶何時祈禱以及麥加相對於用戶當前位置的方向。據GooglePlay商店稱,該應用程式在Android上的下載量已超過5000萬次,而回教徒(MuslimPro)的網站顯示,該平臺在包括iOS在內的其他平臺上的下載量總計已超過9800萬次。
Islamic Pro網站上寫道:「最受歡迎的穆斯林應用!」。該應用程式還包括古蘭經的段落和音頻讀數。(在這篇文章發表後,Muslim Pro表示將不再與X-Mode共享數據)。另一個將數據發送到X-Mode的應用是回教徒Mingle,它是一個約會應用程式,已被下載了100,000次以上。
一些人交談的應用程式開發人員並不知道最終用戶的位置數據是誰,即使用戶檢查了應用程式的隱私政策,他們也可能最終沒有意識到有多少不同的行業,公司或政府機構在購買他們的一些產品。最敏感的數據。美國執法機構購買此類信息引起了有關當局購買其可能通常需要通行證才能訪問位置數據的方式的疑問。
02
但是,USSOCOM合同和其他報告是美國購買位置數據已從執法部門擴展到軍事機構的第一筆證據。根據主板發現的採購記錄,美國特種作戰司令部從一家名為BabelStreet的公司購買了位置數據產品LocateX的訪問權。一位前BabelStreet員工向主板描述了該產品的用戶如何在地圖上繪製形狀,查看BabelStreet在該位置上具有數據的所有設備,然後跟隨特定設備查看它在哪裡。
在線獲得的BabelStreet文檔說:在LocateX數據的技術規範內,客戶對LocateX數據的使用不受搜索查詢數量的限制。該文件說,位置數據可能並不總是準確的。巴別街未回應多項置評請求。3月,技術出版物Protocol首次報告說,美國海關和邊境保護局(CBP)和移民與海關執法局(ICE)等執法機構正在使用LocateX。隨後,主板獲得了一份內部特勤局文件,確認了該機構對該技術的使用。包括CBP和國稅局(IRS)在內的一些政府機構還從另一家名為Venntel的供應商那裡購買了位置數據的訪問權。
「我認為,外國實體幾乎可以肯定會嘗試(並且幾乎肯定會積極利用)私有平臺用戶數據的相似來源。我認為否則就天真的想法了」,該機構助理教授MarkTallman麻薩諸塞州海事學院的應急管理和國土安全部在一封電子郵件中告訴主板。供應鏈一些公司通過bidstream數據獲取應用程式位置數據,該數據是從實時出價中收集的信息,當廣告商付款以將其廣告插入人們的瀏覽會話時,便會進行實時出價。
公司還經常從軟體開發工具包(SDK)中獲取數據。位置數據公司X-Mode與BabelStreet不同,它鼓勵應用程式開發人員將其SDK(本質上是一捆代碼)整合到自己的應用程式中。然後,SDK收集應用程式用戶的位置數據並將其發送到X-Mode;作為回報,X-Mode根據每個應用程式擁有多少用戶向應用程式開發人員支付費用。例如,根據X-Mode的網站,在美國每天有50,000名活躍用戶的應用程式每月可為開發人員賺取1,500美元。X-Mode執行長JoshuaAnton在最近接受CNN採訪時表示,該公司每月在美國境內跟蹤2500萬臺設備,並在歐盟,拉丁美洲和亞太地區的其他地方跟蹤4000萬臺設備。X-Mode先前告訴母版,其SDK嵌入在大約400個應用程式中。
10月,澳大利亞競爭與消費者委員會發布了有關通過智慧型手機應用程式進行數據傳輸的報告。該報告的一部分包括終結點(某些應用程式使用的URL),用於將位置數據發送回X-Mode。旨在保護用戶免受位置數據傳輸影響的Guardian應用程式的開發人員也發布了端點。然後,主板使用該端點來發現哪些特定的應用程式正在將位置數據發送到代理。
03
主板使用網絡分析軟體來觀察回教Pro應用的Android和iOS版本,多次向X-Mode端點發送詳細的位置數據。iOS研究人員和Guardian的創始人WillStrafach表示,他還看到iOS版的穆斯林Pro將位置數據發送到X-Mode。根據主板的測試,數據傳輸還包括手機當前收集到的wifi網絡的名稱,時間戳以及有關手機的信息(例如型號)。回教專業人士未回應多項置評請求。其他將數據發送到X-Mode的應用程式包括Accupedo計步器應用程式,根據GooglePlay商店上的應用程式頁面,該應用程式已下載了500萬次以上;CPlusforCraigslist」應用程式,使用戶可以更輕鬆地搜索Craigslist,並且下載量超過一百萬;和「全球風暴」,用於追蹤颶風,颱風和熱帶風暴的應用程式。該應用程式已被下載超過一百萬次。
除了祈禱應用程式外,母版還將回教混合約會應用程式安裝到Android手機上,並觀察到該應用程式多次將手機當前位置和wifi網絡名稱的精確地理位置坐標發送到X-Mode。該應用程式以及其他約會應用程式(例如專門針對黑人銷售的Black Mingle)的開發者位於越南的Mingle並未回應多項置評請求。
「在這種情況下,可以肯定地說,不是技術人員的合理消費者,即使閱讀了披露的信息,也不會想到軍事用途。」
主板發現了另一個約會應用程式網絡,其外觀和操作與Mingle幾乎相同,包括將位置數據發送到X-Mode。主板在測試設備上安裝了另一個約會應用程式,名為IranSocial,並觀察到GPS坐標已發送給該公司。應用程式網絡還包括土耳其社交,埃及社交,哥倫比亞社交以及其他針對特定國家/地區的應用。然後,X-Mode將對此類數據的訪問權出售給各種不同的客戶端。母版先前顯示,這些客戶之一包括一家私人情報公司,該公司的目標是使用位置數據來追蹤人們到他們的「家門口」。X-Mode還展示了如何使用其數據來跟蹤COVID-19熱點中的人們可能相互暴露於冠狀病毒後所到達的位置。
04
調查發現,這些客戶還包括美國軍事承包商。X-Mode包含在其網站上受信任的合作夥伴部分的存檔版本中,將內華達山脈公司和系統技術研究公司列為客戶。內華達山脈公司為美國空軍製造戰鬥機,並支持承包商諾斯羅普·格魯曼公司為美國陸軍開發網絡和電子戰能力。根據其網站的信息,系統與技術研究部與陸軍,海軍和空軍根據採購記錄進行合作,並為情報分析師提供「數據分析支持。
參議員羅恩·懷登(Ron Wyden)在一份聲明中對主板表示,X-Mode表示正在將從美國手機收集的位置數據出售給美國軍事客戶。在9月與我辦公室的通話中,數據經紀人X-Mode Social的律師證實,該公司正在通過國防承包商向美國軍方客戶出售在美國的電話中收集的數據。該公司援引保密協議,但拒絕了以確定購買這些數據的特定國防承包商或特定政府機構。X-Mode在一封電子郵件中告訴Motherboard,該公司與內華達山脈(Sierra Nevada)或STR不合作,但並未否認他們曾經是客戶。(由於Motherboard繼續向公司報告,並且參議員Ron Wyden的辦公室對位置數據行業進行了自己的調查,X-Mode已從Trusted Partners頁面中刪除了多個公司名稱,包括內華達山脈公司)。
X-Mode將其數據面板許可給少數可能與政府軍事部門合作的技術公司,但我們與此類承包商的合作是國際性的,主要側重於三個用例:反恐,網絡安全和預測未來COVID-19熱點,X-Mode在發送給主板的電子郵件中添加了此信息。幾個使用X-Mode的應用程式開發人員告訴Motherboard,他們不知道用戶的位置數據已發送給國防承包商。應用開發公司Mobzapp的執行長Nicolas Dedouche說:我不知道X-Mode正在將這些數據出售給一些軍事承包商。
Mobzapp製作了一個用於Android的屏幕共享應用程式,該應用程式將位置數據發送到X-Mode,並已下載了超過一百萬次。他補充說:我不知道X-Mode是否與軍事承包商合作,如果他們在某處沒有明確提及它的話。作為一個應用程式開發人員,我很在意與誰籤約。氣泡級」應用程式背後的開發人員Antoine Vianey說,該應用程式已被下載超過一千萬次。但是他們補充說:非常清楚,我想念你寄給我的兩個人!指內華達山脈公司或系統與技術研究部。YanFlex,Craigslist CPlus應用程式背後的開發人員,似乎也不知道X-Mode與軍事承包商合作。當要求發表評論時,他們在電子郵件中錯誤地寫道:我不認為您的描述是真實的。
腳步跟蹤應用程式Accupedo在一封電子郵件中告訴主板,我們沒有公開談論與合作夥伴的關係。如果您對我們與X-Mode的關係感興趣,可以直接與他們聯繫。我們對X-Mode如何使用位置數據感到滿意,製作「全球風暴」應用程式的Kelly Technology總裁兼首席開發人員Neil Kelly在一封電子郵件中對主板說。
「我不知道X-Mode是否與軍事承包商合作,如果他們在某處沒有明確提及它的話。」
X-Mode在其網站上描述了其「最佳做法,以了解如何獲得應用程式用戶的同意以收集其位置數據。以及獲得訪問位置數據的作業系統級別許可和隱私權政策,X-Mode表示,它還為我們的發布商合作夥伴提供了推薦的語言,以簡化隱私權導航並與我們的方式保持品牌一致性向我們整個面板的用戶展示我們的數據收集和共享。用戶首次打開應用程式時出現的氣泡級服務條款彈出窗口說,該軟體可能會收集匿名位置數據,以支持量身定製的廣告,基於位置的分析,歸因以及其他有關流量和人群的公民,市場和科學研究。GlobalStorms應用程式在主板的測試中提供了類似的對話。免責聲明本身並未明確表示數據將發送給軍事承包商或私人情報公司。一些應用程式隱私政策以及X-Mode自己的政策表示,該公司可能會將位置數據用於「疾病預防和研究,安全,反犯罪和執法。
05
凱利在談到Global Storms應用程式的用戶時說:我不知道有多少人表示同意。但是某些代表X模式收集位置數據的應用實質上隱藏了數據傳輸。Islamic Pro在其隱私權政策中未提及X-Mode,並且在安裝或打開詳細說明位置數據傳輸的應用程式時未提供任何彈出式窗口。隱私權政策確實說,Muslim Pro與其他兩家位置數據公司Tutela和Quadrant合作。主板確實觀察到了向Tutela的數據傳輸。穆斯林Mingle應用程式在母版的測試中未提供任何彈出式披露,該應用程式的隱私權政策也沒有提及X-Mode。社交應用程式的第二個網絡中的伊朗社交應用程式伊朗社交使用了許多相同的代碼,但在位置數據銷售方面同樣缺乏信息披露。
經過Motherboard的測試並獲得評論後,Mingle添加了一個新的選擇加入對話框,該對話框確實說回教Mingle應用程式收集了位置數據。IranSocial背後的公司InnovateDating也做了同樣的事情。X-Mode在發送給Motherboard的電子郵件中闡明,根據合同,其合作夥伴應用程式有義務遵守相關的數據保護法律並獲得同意,而不是採用一種技術機制來在未經知情同意的情況下停止收集。我們要求平臺上的所有應用均遵守所有適用的隱私權和數據保護法律和平臺準則(例如Google/Android和Apple/OS)。
我們的應用合作夥伴有合同義務遵守這些要求。這些要求包括獲得所有必需的要求。最終用戶對任何數據收集和使用的同意和許可(包括適用的選擇加入和提供選擇退出的手段),X-Mode在電子郵件中寫道。我們為應用程式合作夥伴提供了統一管理工具,以幫助他們遵守這些要求,並且我們審核發布者的應用程式是否符合要求。
當我們得知平臺上的某個應用程式存在任何所謂的不符合問題時,我們會認真對待這一點,並且我們進行徹底調查並在必要時進行補救。伯克利法律與技術中心的教務主任克裡斯·霍夫納格勒(Chris Hoofnagle)在顯示某些應用程式的隱私披露不佳時,在一封電子郵件中告訴:問的問題是,這些服務的合理消費者是否會預見到這些用途並表示同意可以明確地向他們詢問。從這種情況下可以肯定地說,合理的消費者(不是技術人員)即使考慮了披露內容,也不會在軍事上考慮其數據。
內華達山脈公司( Sierra Nevada Corporation )背後是一份被廣泛抹黑的報告,該報告使用位置數據得出結論,認為2019年10月武漢病毒研究所發生了破壞性事件。
內華達山脈公司(Sierra Nevada Corporation)或系統與技術研究公司(Systems&Technology Research)均未回應多項置評請求。