App Trackers将您的位置数据销售给政府

如果您依靠Apple和Google的App Store规则，以便将您的位置数据安全地销售给政府的公司，您可能希望重新思考该政策。但是，如果你依靠法律制度阻止政府机构购买该数据，你可能会幸运 - 也许。

新的财政部检查员总报告称，它不相信机构有权购买商业服务的位置数据而不获得逮捕令。看门狗一直在调查内部收入服务（IRS），但IRS不是在开放市场购买地点数据的唯一机构。军队，联邦调查局（FBI），药物执法管理（DEA）以及国土安全部（DHS）也这样做。

代理机构表示，由于他们只是购买由同意收集数据的商业提供的商业提供的商业数据，因此他们并没有任何违法行为。这份新报告对该索赔表示怀疑，称2018年最高法院裁决，所需的执法人员可以将手机塔数据的保证人员应用于地点数据。

如果检查员将军是正确的，这可能会停止通过一系列中间人购买的政府购买的位置数据，这是一种非常难以遵循的供应链，因此难以停止。 App Stores尝试采取行动，但他们的禁令可能会泄漏和不完整。谷歌最近禁止了一个跟踪器从其应用商店的应用程序，但研究人员多次找到仍然包含它的应用。而且，与整个行业致力于收获和销售位置数据，甚至完全禁止一个跟踪器都不会产生凹痕。

“补助”利用的法律灰色区域 - 谷歌不会停止

该数据的来源是您的手机。更具体地说，它是您投入的应用程序，它可以将位置数据发送回第三方公司，以专门销售地点数据或访问它，广告商，营销人员和数据经纪人 - 甚至是其他位置数据提供商。它可能会在达到最终用户之前经过几家公司。位置数据供应链故意不透明，但最终您的数据（以及数百万其他人）可能会在任何执法机构愿意为其支付的行动中发动。

ExpressVPN的数字安全实验室的主要研究员Sean O'Brien有一个术语：数据洗涤。

O'Brien告诉Recode：“分享和销售数据的演员太多，以至于难以追踪。”

去年11月，Vice设法追赶了一条路，报告称一家名为X-Mode的位置数据公司正在将其通过软件开发工具包（SDK）获得的数据出售给国防承包商，其中包含数百个应用程序以及数百万个用户。然后，那些承包商将这些数据卖给了军方。 （Ron Wyden参议员（D-OR）一直在调查数据经纪人，并在同一时间得出了类似的结论。）

根据该报告，Apple和Google禁止在其应用商店中使用X-Mode的SDK。但是几个月后，研究人员仍在具有成千上万用户的应用程序中发现了该SDK。奥布赖恩（O’Brien）的数字安全实验室（Digital Security Lab）与国防实验室局（Defense Lab Agency）的共同创始人埃斯特（Esther Onfroy）共同研究了450种Android应用，并在其中近200种中发现了X-Mode的SDK，其中有些甚至在禁令实施后仍向X-Mode发送数据。 Google得知自己已通过公司的网络滑倒后，至少删除了其中一个应用。然后，ExpressVPN使用该SDK找到了另外25个应用程序，其中大多数来自名为CityMaps2Go的开发人员。 Google将该应用程序从商店中删除，并承认由于“对我们的执行过程的监督”，这些应用程序已通过了审查程序。

ExpressVPN告诉Recode，它随后在Google Play商店中发现了另外22个使用X-Mode SDK的应用程序，这些应用程序都是由CityMaps2Go开发的，这表明Google的执行过程需要一些工作。值得注意的是：其中一些是付费应用程序，这应该消除为应用程序付费可以保证您的隐私的神话。尽管知道CityMaps2Go的某些应用程序具有被禁止的SDK，但Google并未对其其他程序进行检查。当Recode告诉Google有关监督的信息时，该公司从商店中删除了这些应用。

这里发生了什么？ Ulmon CityMaps2Go背后的公司去年破产。然后，Citymaps2Go被一家名为Kulemba的公司收购。 Kulemba告诉Recode，在访问代码以从Android应用中删除SDK时遇到问题。这就让Google可以查找和删除违反其规则的应用程序，而消费者只需要希望这样做即可。到目前为止，有将近50个应用程序穿越了裂缝，这种希望可能会错位。奥布赖恩（O’Brien）认为Google可以做得更好。

O’Brien说：“ Google以外的研究人员可以识别出这些被禁止的SDK的存在，而不会拥有和运营Google Play的好处。” “我们研究了具有到X-Mode已知链接的开发人员的应用程序，并使用众所周知的方法发现了有问题的SDK。消费者应该合理地期望Google或任何应用商店的管家能够保护用户免受已被禁止的SDK的侵害，否则政策与实践之间便存在严重的脱节。”

但是，这里存在着一个公司的SDK之外的另一个更大的问题，而Google在执行自己的规则方面显然存在困难。 X-Mode不是唯一向政府机构提供位置数据的公司，也不是唯一从政府那里购买数据的公司。禁止发布骇人听闻的应用商店禁令不足以阻止价值数十亿美元的庞大，不透明和迷宫般的位置数据产业。

“位置数据经纪人使用多种方法从应用程序中获取数据，”研究数据行业的研究人员Wolfie Christl告诉Recode。 “他们可以使应用程序嵌入其数据收集代码，从数字广告的竞标流中获取代码，直接从应用程序供应商那里获取，或者直接从其他数据经纪人处购买。”

X-Mode并未回应是否仍在获取和使用位置数据以及如何使用位置数据的评论请求，但是即使它确实正确切断，我们已经知道还有其他公司向政府出售位置数据：特别是，巴别街和Venntel。很难找到其主要数据源-再次进行数据清洗-但最近的报告将Venntel链接到两个SDK，后者通过一系列中介（包括其母公司Gravy Analytics）将数据发送给Venntel。

2月初，Google的Play商店禁止使用其中一个来自Predicio的SDK。我们将看看Google是否能够比X-Mode更好地执行Predicio禁令。

Christl告诉Recode：“移动应用经济已成为数据利用的后盾。” “解决此问题的唯一方法是最终在欧盟执行数据保护法，并在美国和其他地区引入强有力的立法。”

我们可能很快就会有一些立法。怀登（Wyden）首先要求美国国税局（IRS）监察长提交报告，这是他对位置数据行业和政府机构使用报告进行调查的一部分，他对Recode表示，他打算提出一项法案，禁止执法人员购买位置数据。

Wyden告诉Recode：“与应用商店与可疑的数据经纪人打w，美国人比我们更需要保护我们的权利。” “国会需要消除漏洞，让中间商将我们的个人数据出售给政府，并将其纳入黑字法以及强有力的消费者隐私法，以使其更难于汇编关于我们去往何处以及内容的海量数据库。我们在线阅读和购买商品，并让用户重新控制我们的信息。”

他说：“这就是为什么我将在接下来的几周内推出《第四修正案，禁止出售法》，以使政府获得个人信息的授权，而不是仅仅提取信用卡。”

当督察总报告称，由于督察总报告称，该法院将发现该地点数据购买违反第四次修正案，这将对我们解决这些问题。

无论哪种方式，这只解决了一类位置数据客户。正如Wyden所说，也需要消费者隐私法。直到（如果）我们得到那些，我们必须依靠公司来规范自己并相信他们正在做的事情。如果世界上最大的公司之一无法摆脱只有一个违反其服务条款的SDK的自己的App Store，我们怎样才能期望它找到并删除其他人？当位置数据公司通过多个中介到过滤他们的数据销售时，谷歌和苹果如何知道谁首先打破了规则？

“监管和法律诉讼可以产生积极影响，但我总是寻找更多的基层解决方案，”奥布莱恩说。 “消费者需要与智能手机，社交网络和技术的关系不同地思考。”

Omidyar网络可以开放开放。所有开放的源集内容都是由我们的记者独立的，并由我们的记者制作。

更正：前一篇文章的版本表示，Kulemba获得了Ulmon。 Kulemba仅收购了Ulmon的CityMaps2Go应用程序。