物議を醸しているデータブローカーの X-Mode は、「バイ、ゲイ、オープンマインドな男性」向けの出会い系アプリである Bro、バーチャル メイクアップ アプリの Perfect365、人気のライブ ストリーミング アプリである Tango のほか、その他数十の特定の携帯電話から位置データを購入しました。 The Markup が参加していると特定したアプリ数十億ドル規模の位置データ取引。
マークアップは、X‑Mode が 2018 年と 2019 年に購入した位置データで構成されるサンプル データセットを取得しました。データは 107 のアプリから供給されており、その期間中に 140 か国から収集された 20,000 以上の一意の広告 ID からの 50,000 ポイント以上の位置データが含まれていました。アプリの約 4 分の 1 はもうアクティブではなく、どのアプリにも X‑Mode のコードが含まれているようには見えません。 X‑モードはそれ以来、~からの制裁に直面したGoogle および Apple アプリ ストアだけでなく、議員からの厳しい監視とりわけ、軍事請負業者に位置データを販売する規制当局。このデータは X-Mode の元従業員によって The Markup に提供され、同社の 2 人目の元従業員がデータが本物であることを確認しました。
一般に、位置データブローカーは、ユーザーに自分の位置情報をアプリと共有するよう求めるスマートフォンアプリケーションから得られるデータのソースを開示することを嫌います。マークアップは最近、ファミリー セーフティ アプリを特定しましたLife360 は最大のサプライヤーの 1 つとして正確な位置データを取得し、X‑Mode を含む約 12 社にデータを販売しています。そして昨年、Motherboard は、X‑Mode がイスラム教徒の祈りのアプリから位置データを購入したと報告しました「ムスリム プロ」、「祈りの時間: キブラ コンパス、コーラン MP3 およびアザン」、「キブラ ファインダー: 祈りの時間、コーラン MP3 およびアザン」、および「キブラ コンパス - 祈りの時間、コーラン MP3 およびアザン」。マザーボードはまた、X‑Mode が位置データを米軍請負業者に提供、これらのアプリを使用したイスラム教徒を監視の危険にさらす可能性があります。具体的にどのアプリが軍事請負業者に利益をもたらしたかは明らかではない。
The Markup が取得したデータは最新ではなく、X-Mode に位置データを提供したアプリの完全なリストは含まれていませんが、同社が重大な問題に直面する直前の位置データ ブローカーのソースの規模と多様性を浮き彫りにしています。マザーボードの報道を受けて世間の厳しい視線が注がれた。また、X モードがこれまで知られていたよりも機密性の高いソースから位置データを受信したことも示しています。
このデータセットは、2019 年に X モードに位置データを販売した 4 つの追加のイスラム教徒の祈りのアプリを含む、数十のアプリを示しています。キブラ ロケーター: 礼拝時間、アザン、コーラン、キブラ、””コーランのフル MP3 – 50 以上の言語と翻訳音声、””アル・コーラン MP3 – 50 の朗読と翻訳音声、" そして "礼拝時間: キブラとコーラン」
Tango、Perfect365、およびイスラム教徒の祈りのアプリの開発者は、私たちのコメント要請に応じなかった。 Bro App の創設者であるスコット・カトラー氏は、 The Markup は電子メールで、同社が X-Mode にユーザーの位置データを提供しないと伝えました。
識別されたマークアップ107 個のアプリ元従業員から提供されたリストには、人々の移動に関するデータを販売するさまざまなアプリが示されています。
8月には、知的財産インテリジェンス会社 Digital Envoy会社を買収し、Outlogic としてブランド名を変更しました。 X‑Mode の古い Web サイト (現在も稼働中)会社が自慢した400社を超えるアプリ発行者が人々の正確な居場所を同社に提供し、X‑Modeのデータには「毎月米国の成人人口の25%以上」が含まれていると述べた。しかし、オンOutlogic の現在の Web サイト、最大で「米国の成人人口の毎月10%以上」しかいないと主張しています。
新しい所有者はすべてを切り離したと述べた米国の位置データが軍事請負業者に送信される、しかし、規模は小さいように見えますが、同社は依然として位置データ産業に関与しています。
Xモードの元従業員2名がザ・マークアップに語ったところによると、同社のデータ収集能力は2018年と2019年がピークだったが、世間の反発を受けて大幅に低下したという。
X-Mode、Outlogic、Digital Envoyは複数のコメント要請に応じなかった。
私たちがレビューしたサンプルで最も人気のあるアプリはライブ ストリーミング サービスでしたタンゴそしてパーフェクト 365、バーチャルメイクアップアプリ。どちらもインストールベースが大きく、Android バージョンのタンゴ1億回以上インストールされており、パーフェクト365現在の Google Play アプリ ページによると、インストール数は 5,000 万を超えています。
マークアップは、データセット内のすべてのアプリ発行者にコメントを求めました。 8 人が回答しました: A-Life Software, LLC (「株式トレーナー: 仮想取引 [株式市場]」)。 Difer (「シンプルな天気と時計のウィジェット [広告なし]」);ネオン・ルーツ (「キャットワン」); JRustonApps BV (「どうぶつの森 NL ガイド」、「My Currency Converter & Rates」、「My Lightning Tracker & Alerts」); New IT Solutions Ltd. (「4shared Mobile」); BroTech LLC (「BRO: チャット、友達、楽しい」); MOBZAPP (「VoiceFX – 音声エフェクト付きボイスチェンジャー」、「RecMe スクリーンレコーダー」、「スクリーン ストリーム ミラーリング」);およびYanFlex(「CPlusクラシファイド」)。
それぞれが、ある時点でXモードにデータを販売していたが、その後は販売を停止したことを認めた。
機密性の高いアプリが X‑Mode にデータを販売した
専門家らは、位置データを X‑Mode に販売したアプリの一部は、それによって機密情報を漏洩した可能性があると述べています。
プライバシーコンサルティング会社カジエント・プライバシーの最高経営責任者(CEO)ジャマル・アーメド氏は、イスラム教徒の祈りのアプリからのデータを販売すると、そのアプリの使用者が監視の対象となる可能性があると述べた。
「イスラム教徒の組織として、情報を収集するとき、またはテクノロジーを開発するとき、個人があなたに引き渡しているという信頼を守らなければなりません」とアーメド氏は語った。 「特に現在世界中でイスラム教徒がどれほど標的にされているかを考えると、そうする道徳的、宗教的義務があります。」
Bro など、他の機密性の高いアプリも X-Mode にデータを販売しました。Bro は、位置データにアクセスして、接続するエリア内の他のユーザーを見つけます。
ゲイ向け出会い系アプリ「SCRUFF」のエリック・シルバーバーグ最高経営責任者(CEO)は、LGBTQ+コミュニティにサービスを提供するアプリはそのようなデータを共有したり販売したりすべきではないと述べた。
「そのサービスを超えてそのデータを使用することは、あらゆるマイノリティーコミュニティにとって、特有かつ不釣り合いなリスクと脅威をもたらします。特にLGBTQ+コミュニティは、世界中、そして米国で特有のリスクに直面しているからです」と彼は語った。
Broのカトラー氏は、出会い系アプリがXモードと共有したすべての位置データは「100%匿名化」されていたが、位置データが匿名化解除される可能性があることを知ってから、ブローカーにユーザーのデータを提供するのをやめたと述べた。
マッシュ可能な光の速度
イスラム教徒の組織として、情報を収集するときは…その信頼を守らなければなりません。」
研究者らは、匿名化されたデータセットであっても、位置データを通じて個人を特定するわずか 4 つのデータポイントで可能です。
「サードパーティのブローカーが個人の自宅住所などの情報を使用してデータの匿名化を解除しようとする可能性さえあることを発見し、ユーザーのプライバシー(または信頼)を危険にさらしてまで X との協力を続ける価値はないと判断しました」 -モードです」とカトラー氏は語った。
Xモードは2017年と2018年にシルバーバーグ氏に複数の電子メールを送信し、シルバーバーグ氏はそれをザ・マークアップに提供し、SCRUFFのユーザーデータに対して年間少なくとも10万ドルを提供すると提案した。
「あなたの会社はすでに位置データを収集しているため、すでに稼いでいる収益に加えて、X‑Mode の年間少なくとも 10 万ドルの収益を追加することに興味があるかもしれません。」2018 年 9 月の X‑Mode のピッチメール言った。
シルバーバーグ氏は、オファーを一貫して無視してきたと語った。
昨年の7月、カトリックの高位司祭が辞任した報道機関が位置データを使用して司祭をゲイの出会い系アプリに結び付け、ゲイバーへの訪問を追跡した後。 X‑Mode が事件に関与したという兆候はありません。
イェール大学プライバシー研究所の主任研究員であるショーン・オブライエン氏は、他にもいくつかのことを明らかにしました。位置情報データを X-Mode に販売した LGBTQ 出会い系アプリX‑Mode の SDK を使用したアプリを探します。 (SDK は Software Development Kit の略で、データ収集に使用できるアプリに組み込まれたツールです。) アプリ開発者は、エックスモードのSDKそのため、位置データ ブローカーは支払いと引き換えに情報を直接収集できます。
2020年、オブライエン氏はGoogleアプリストアを調べたところ、「Wapo: ゲイデート」、「Wapa: レズビアンデート、相手を見つけて女性とチャット」、「MEET MARKET – ゲイ出会い系アプリ」というアプリが存在することを発見した。 Chat & Date New Guys」と「FEM – 無料のレズビアン出会い系アプリ。 Chat & Meet Singles」にも X‑Mode のトラッキング コードが埋め込まれていました。もう誰もやらない、と彼は言った。
これらのアプリの発行元であるMingleとWapo y Wapa Ltd.はコメントの要請に応じなかった。
SDK がなくても、アプリが位置データ ブローカーにデータを提供する他の方法があります。たとえば、Life360 は、次のように、独自のサーバーを介して位置データをデータ ブローカーに直接提供します。以前に報告されたマークアップ。
X‑Mode の元従業員 2 人は、同社が SDK からよりも直接サーバー転送から多くのデータを受け取ったと The Markup に語った。
この方法は、オブライエン氏のような研究者にとっては発見がより困難になるだろう。私たちがレビューしたサンプル内のデータはすべて、SDK を介してモバイル デバイスから直接収集されているようです。
によると、Apple や Google のようなアプリ ストアがそのような販売を検出して監視することは困難になる可能性があります。ウォール・ストリート・ジャーナル。 AppleとGoogleは、データの収集方法や受け取り方法に関係なく、特定の種類のユーザーデータの販売は禁止されていると述べた。
「私たちは、アプリが収集したユーザーデータに基づいてユーザープロファイルを密かに構築することを許可しません。 X-Mode SDKを使用していることが判明したアプリは、それを削除する必要があり、さもなければApp Storeから完全に削除される危険がある」とAppleの広報担当者アダム・デマ氏は電子メールで述べた。
「Google Playのポリシーは、ユーザーの機密データや個人データを収集するアプリの販売を明示的に禁止している」とGoogleの広報担当Scott Westover氏は電子メールで述べた。
両社とも、サーバー間ベースの転送をどのように検出して強制するかについての質問には回答しなかった。
事業展開中
X-Mode の元従業員は The Markup に対し、営業チームのメンバーはそれぞれ新しい位置データ ソースを持ち込む責任があると語った。元従業員によると、各チームメンバーの年間目標は、アプリからの新規ユーザーを合わせて100万人に設定したという。
多くの場合、これには、ユーザー数に基づいてどれくらいの収益が得られるかを示すグラフや、ターゲットを絞った広告にデータがどのように使用されるかを示す提案資料をアプリ開発者に提供することが含まれていました。
マークアップは、2017 年にシルバーバーグに送られた X‑Mode の提案資料をレビューしました。その中で、X‑Mode が広告目的で位置データを販売していたことを強調しました。
Xモードにデータを販売した開発者のうち3人は、軍事関係を知って提携を解消したと述べた。彼らにとって、X‑Mode の利用は、主にアプリを収益化する簡単な方法でした。
アプリ開発者のアヌジ・サルージャ氏「株式トレーナー: 仮想取引」と彼は、2019年9月にX‑Modeとの位置データの共有を停止し、データブローカーから月額800ドルから1,000ドルを受け取っていたと述べた。
「インディーズ アプリなので、当時 X‑Mode は私の収益の約 25% でした。そのため、アプリから X‑Mode を除外するのは経済的に難しい決断でしたが、アプリのユーザーの考えからすると、私は正しいことをしたと思っています。私のアプリはユーザーの位置を知る必要も、気にする必要もありません」と開発者は電子メールで述べた。
アプリ開発者のダニエル・フォーチュナ氏は「シンプルな天気と時計のウィジェット (広告なし)また、Google からプライバシーに関する懸念があることを知った後、X-Mode への位置データの提供を停止しました。
「XModeが特定のパートナーにデータを転売していたことを知り、1年以上前にXModeとの提携を停止しました」とアプリ開発者のFlex Yan氏は述べた。CPlus クラシファイド マーケットプレイス」とメールで述べた。
元 X-Mode 従業員によると、販売チームは潜在的な購入者に位置データを販売する責任もあり、年間収益として 50 万ドルから 80 万ドルが目標に設定されていました。
軍への販売がこれらの目標のかなりの部分を占める可能性がある公的記録が示すように。 X‑Mode は 2019 年に位置データを 283,125 ドルで空軍に販売し、2020 年には 140,000 ドルで販売しました。
Xモードはパブリッシャーに対し、位置情報データが軍に渡される可能性があることを明確に伝えなかったが、カジエント・プライバシーのアーメド氏は、パブリッシャーは人々のデータに対してもっと責任を持つべきだったと述べた。
「彼らがそれを収益化して販売するつもりなら、この情報で実際に何が起こっているのか、そして私がサービスを提供しようとしている人々に対してこの情報が利用されているのかを理解する必要があります。」アーメドさんは言った。
この記事は元々はThe Markupで公開されましたの下で再出版されましたクリエイティブ コモンズ 表示 - 非営利 - 改変禁止ライセンス。
