Rettshåndhevelse sporet 500 millioner enheter ved hjelp av annonsedata

Rettshåndhevelse brukte annonsenettverk til å spore 500 millioner enheter

En ny rapport fra Citizen Lab har avslørt et overvåkingsverktøy kalt Webloc som rettshåndhevelsesbyråer i USA, Ungarn og El Salvador har brukt til å overvåke opptil 500 millioner mobile enheter verden over. Verktøyet er ikke avhengig av tradisjonelle avlyttinger eller rettslig godkjente avskjæringer. I stedet utnytter det den samme annonseinfrastrukturen som driver de gratis appene på telefonen din.

Funnene reiser alvorlige spørsmål om hvordan myndigheter anskaffer og bruker kommersielt tilgjengelige data, og hva det betyr for personvernet til vanlige mennesker som aldri har vært mistenkt for noe kriminelt.

Hva er Webloc og hvordan fungerer det?

Webloc henter data fra mobilapper og digitale annonsenettverk. Når du bruker en gratis app, deler den vanligvis informasjon med annonsenettverk for å vise deg målrettede annonser. Disse dataene inkluderer ofte en enhetsidentifikator, nøyaktige stedkoordinater og profilattributter som anslått alder, interesser og nettleseratferd.

Webloc samler inn denne informasjonen og gjør den søkbar for rettshåndhevelse. Myndighetene kan bruke den til å spore historiske bevegelser til en enhet, identifisere hvor noen bor eller jobber, og bygge en detaljert atferdsprofil – alt uten å innhente en tradisjonell rettsordre for stedsdata.

Verktøyets rekkevidde er påfallende. Annonsenettverk opererer globalt og samler inn data passivt, noe som betyr at en enhetseier ikke trenger å gjøre noe uvanlig for å dukke opp i datasettet. Det holder å bruke apper som viser annonser.

Overvåkning uten rettsordre gjennom en kommersiell bakdør

Den juridiske rammen her er viktig. Domstoler i mange jurisdiksjoner har lagt begrensninger på hvordan myndigheter kan samle inn stedsdata direkte fra mobiloperatører eller GPS-systemer. Men å kjøpe eller lisensiere de samme dataene gjennom kommersielle mellomledd har eksistert i en gråsone som lovgivere har vært trege med å håndtere.

Citizen Labs rapport fremhever at dette ikke er et hypotetisk smutthull. Myndigheter bruker det aktivt. Involveringen av byråer på tvers av tre land med svært ulike rettssystemer antyder at verktøy av Webloc-typen er attraktive nettopp fordi de omgår de kravene om rettsordre som ville gjelde for direkte overvåkingsmetoder.

Ungarn og El Salvador har begge dokumentert bruk av overvåkingsteknologi mot journalister, aktivister og politiske motstandere, noe som gjør avsløringen av dette verktøyet særlig betydningsfull for sivilrettighetsforskere.

Hva dette betyr for deg

Du trenger ikke å være av interesse for rettshåndhevelse for at dette skal påvirke deg. Dataene som samles inn av annonsenettverk er udiskriminerende. De strømmer fra enheten din hver gang en app kontakter en annonseserver, uavhengig av hva du gjør eller hvem du er.

Noen praktiske punkter det er verdt å forstå:

• Enhetsidentifikatorer er vedvarende. Telefonens annonserings-ID er designet for å følge deg på tvers av apper. Å tilbakestille den periodisk reduserer kontinuiteten i profilen din, selv om det ikke eliminerer datainnsamling helt.
• Stedstillatelser er viktige. Apper som ber om tilgang til nøyaktig posisjon i bakgrunnen er de mest sannsynlige bidragsyterne til den typen data Webloc henter. Å gjennomgå og begrense stedstillatelser for apper som ikke genuint trenger dem er et enkelt tiltak.
• Annonsebasert datainnsamling er i stor grad usynlig. I motsetning til en sporingsinformasjonskapsel på et nettsted som du i teorien kan slette, presenteres ikke data som strømmer gjennom mobile annonserings-SDK-er for brukere på noen meningsfull måte.
• VPN-er kan begrense noe eksponering. Å maskere IP-adressen din reduserer ett datapunkt som annonsenettverk bruker til å korrelere aktiviteten din og anslå din lokasjon, selv om en VPN alene ikke hindrer en app i å lese enhetens GPS-koordinater dersom du har gitt den tillatelsen.
• Personvernfokuserte operativsysteminnstillinger hjelper. Både Android og iOS har lagt til alternativer for å begrense annonsesporing på systemnivå. Å aktivere disse alternativene gjør deg ikke usynlig, men det reduserer rikdommen i profilen som kan bygges.

Citizen Lab-rapporten er en påminnelse om at dataøkonomien som ble bygget for å tjene annonsører, også har blitt infrastruktur for statlig overvåking. De to var aldri helt atskilte, men omfanget og de operasjonelle detaljene som avdekkes her gjør sammenhengen konkret.

Den mest effektive responsen er ikke panikk, men bevisst endring av vaner. Gjennomgå appene på enheten din, begrens tillatelser som ikke tjener et klart formål, og behandle stedstilgang som en sensitiv tillatelse snarere enn en rutinesak. Disse tiltakene vil ikke beskytte noen mot en målrettet, ressurssterk etterforskning, men de reduserer passiv eksponering for masseinnsamlingsprogrammer som Webloc betydelig.

Ettersom myndigheter og domstoler fortsetter å debattere hvor de juridiske grensene bør ligge, er brukere som forstår hvordan denne datapipelinen fungerer bedre posisjonert til å beskytte seg selv innenfor den.