Candy Crush、Tinder、MyFitnessPal：位置追跡に悪用されたアプリ

何千ものアプリが位置情報を収集する方法

位置データの収集: 位置データ企業のGravy Analyticsがハッキングされたことで、Candy Crush、Tinder、MyFitnessPal などの人気アプリがユーザーの位置情報を収集するために使われていたことが明らかになった。このデータは広告エコシステムを通じて収集されており、アプリ開発者やユーザーにも知られないまま行われている可能性が高い。

リアルタイム入札システム: 位置データの収集はリアルタイム入札（RTB）システムを通じて行われる。アプリに広告を掲載するために競争する過程で、データブローカーがこの情報を収集できる。これはプライバシー保護に対する大きな脅威となる。

ハッキングされたデータ: ハッキングされたGravyのデータには、米国、ロシア、欧州の数千万台のモバイル端末の座標が含まれており、特定のアプリに結び付いた位置データも含まれている。このデータをGravyが直接収集したのか、別の企業から受け取ったのかは不明だ。

アプリ一覧: Tinder、Grindr、Candy Crush、Temple Run、Subway Surfers、MyFitnessPal、Tumblr、Microsoft 365 など、さまざまなアプリが一覧に含まれている。これらのアプリは広告を通じて位置データを収集している可能性がある。

開発者の反応: ほとんどのアプリ開発者はGravyとの関係を否定しつつ、広告ネットワークを通じて位置データが収集されうることは認めている。たとえば Tinder と Muslim Pro はGravyとの関係を否定し、Grindr はデータブローカーとのデータ共有を否定した。

データ収集の方法: データは主にIPアドレスを通じて位置を推定する方法で収集される。これはGNSS/GPSデータを使わなくても位置を追跡できることを意味する。

規制措置: 米連邦取引委員会（FTC）は、Mobilewallaという別の位置データ企業がRTBの過程を通じてデータを収集することを禁止した。GravyとVenntelも、ユーザーの同意なしにデータを収集したとして指摘を受けている。

セキュリティ調査: 404 Media はハッキングされたGravyのデータをさまざまな方法で検証した。一部のファイルには、GravyのデータウェアハウジングツールであるSnowflakeの認証情報が含まれている。