Close Menu
    Subscribe
    Friday, January 2

    नया टूल बताता है कि ऐप्स में विज्ञापन आपके स्थान का पता लगाने के लिए नेटवर्क डेटा ट्रैकिंग का उपयोग कैसे करते हैं

    DeskBy No Comments7 Mins Read

    मोबाइल ऐप्स, खासकर मुफ़्त ऐप्स, अक्सर व्यापक डेटा ट्रेल्स बनाते हैं, विज्ञापन नेटवर्क के ज़रिए उपयोगकर्ता की जानकारी को अदृश्य तृतीय पक्षों तक पहुँचाते हैं – एक ऐसी प्रक्रिया जो आम फ़ोन मालिक के लिए काफ़ी हद तक अस्पष्ट होती है। अब, सुरक्षा शोधकर्ता टिम शॉट लोगों को इस गतिविधि को संभावित रूप से स्पष्ट करने के लिए एक तरीका सुझा रहे हैं। उन्होंने एक ओपन-सोर्स गाइड और एक सॉफ़्टवेयर टूलकिट जारी किया है जो उनके अपने उपकरणों से निकलने वाले नेटवर्क ट्रैफ़िक को इंटरसेप्ट और विश्लेषण करने के लिए डिज़ाइन किया गया है।

    इन संसाधनों का उद्देश्य उपयोगकर्ताओं को यह पहचानने में सक्षम बनाना है कि स्थान निर्देशांक या आईपी पते जैसी जानकारी कैसे साझा की जा सकती है, अक्सर ऐप्स में एकीकृत विज्ञापन तकनीक भागीदारों के जटिल नेटवर्क के माध्यम से।

    यह टूलकिट mitmproxy पर केंद्रित है, जो एक सुप्रसिद्ध ओपन-सोर्स इंटरैक्टिव HTTPS प्रॉक्सी टूल है, जो उपयोगकर्ताओं को अपने फ़ोन और इंटरनेट के बीच नेटवर्क अनुरोधों को कैप्चर करने की अनुमति देता है। mitmproxy के साथ एक पायथन स्क्रिप्ट (mitm_test.ipynb) भी है जो कैप्चर किए गए डेटा को पार्स करने में सहायता करती है।

    यह स्क्रिप्ट उपयोगकर्ताओं को संभावित डेटा एक्सपोज़र को चिह्नित करने के लिए ट्रैफ़िक लॉग में विशिष्ट कीवर्ड – जैसे “lat”, “lon”, “ip”, या डिवाइस पहचानकर्ता – खोजने में सक्षम बनाती है। परियोजना की रीडमी फ़ाइल प्रॉक्सी सेट अप करने, नेटवर्क ट्रैफ़िक को इसके माध्यम से चैनल करने के लिए मोबाइल डिवाइस को कॉन्फ़िगर करने और सुरक्षित HTTPS संचार को डिक्रिप्ट और निरीक्षण करने के लिए आवश्यक सुरक्षा प्रमाणपत्र स्थापित करने के निर्देश प्रदान करती है।

    संदर्भ: पूर्व अनुसंधान और उद्योग जोखिम

    यह सार्वजनिक रिलीज़ शोधकर्ता द्वारा फरवरी 2025 के एक ब्लॉग पोस्ट में विस्तृत किए गए पूर्व अन्वेषणों का अनुसरण करती है। जनवरी 2025 में लोकेशन डेटा फर्म ग्रेवी एनालिटिक्स (जिसका 2023 में अनकास्ट के साथ विलय हो गया था और दिसंबर 2024 में डेटा बिक्री प्रथाओं को लेकर FTC कार्रवाई का सामना करना पड़ा था) को प्रभावित करने वाले डेटा उल्लंघन से संबंधित रिपोर्टों से प्रेरित होकर, शॉट ने मोबाइल गेम “स्टैक बाय केचऐप” का उपयोग करके डेटा संग्रह की जाँच की।

    उस प्रारंभिक कार्य में लगातार डेटा ट्रांसमिशन का पता चला। उल्लेखनीय रूप से, यूनिटी विज्ञापन जैसे विज्ञापन घटक डिवाइस स्थान सेवाओं के बंद होने पर भी स्थान निर्देशांक और आईपी पते भेजते देखे गए। फेसबुक के विज्ञापन नेटवर्क को भी ऐप के भीतर बिना किसी प्रत्यक्ष उपयोगकर्ता लिंकेज के आईपी डेटा प्राप्त करते देखा गया। यूनिटी का अपना डेवलपर दस्तावेज़ पुष्टि करता है कि उसका एसडीके डिवाइस और डायग्नोस्टिक जानकारी एकत्र करता है, ऐप स्टोर गोपनीयता घोषणाओं के लिए प्रकटीकरण प्रदान करता है, और लागू क्षेत्रों में उपयोगकर्ताओं के लिए जीडीपीआर सहमति तंत्र की रूपरेखा तैयार करता है।

    ऐप ट्रैफ़िक पर नज़र

    शोधकर्ता का टूलकिट उपयोगकर्ताओं को ऐसे प्रसारणों को संभावित रूप से प्रत्यक्ष रूप से देखने की अनुमति देता है। ट्रैफ़िक कैप्चर करने के बाद, पायथन नोटबुक कई अनुरोधों को फ़िल्टर करने में मदद करता है। हालाँकि इस अर्ध-मैन्युअल दृष्टिकोण के लिए फ़िल्टर किए गए परिणामों की जाँच करने के लिए उपयोगकर्ता के प्रयास की आवश्यकता होती है, शॉट का सुझाव है कि यह संभावित रूप से अप्रत्याशित डेटा बिंदुओं को उजागर करने का एक तरीका प्रदान करता है, जैसे कि डिवाइस स्क्रीन की चमक या हेडफ़ोन की स्थिति, जिन्हें प्रारंभिक शोध में आईपी और स्थान डेटा के साथ देखा गया था। शोधकर्ता ने इस जटिल डेटा मूवमेंट को दर्शाने वाला एक दृश्य फ़्लोचार्ट भी तैयार किया।

    विज्ञापन तकनीक डेटा पाइपलाइन

    किसी ऐप से डेटा के प्रवाह में अक्सर कई मध्यस्थ शामिल होते हैं। सप्लाई-साइड प्लेटफ़ॉर्म (SSP) – जो ऐप प्रकाशकों को विज्ञापन स्थान बेचने में मदद करने वाली एक सेवा है, जैसे यूनिटी ऐड्स – से SDK के माध्यम से एकत्रित जानकारी, मोलोको जैसे डिमांड-साइड प्लेटफ़ॉर्म (DSP) को दी जा सकती है, जो विज्ञापनदाताओं को विज्ञापन इन्वेंट्री खरीदने में मदद करते हैं। ये प्लेटफ़ॉर्म रीयल-टाइम बिडिंग (RTB) नीलामी की सुविधा प्रदान करते हैं।

    जैसा कि शॉट रिसर्च और क्रेब्स ऑन सिक्योरिटी जैसे आउटलेट्स की रिपोर्टिंग से पता चलता है, इन बिडस्ट्रीम अनुरोधों में साझा किया गया डेटा विजेता बोलीदाता के अलावा भी सुलभ हो सकता है। AdOps चर्चा मंच पर एक टिप्पणीकार ने बिडस्ट्रीम डेटा तक कौन पहुँचता है, इस बारे में टिप्पणी की: “वे इसे तब एक्सेस करते हैं जब वे बिडस्ट्रीम प्रदाता, जो कि SSP होता है, के साथ एकीकृत होते हैं। SSP का काम उस विक्रेता का सत्यापन करना होता है जिसे वे बोलियों तक पहुँच देते हैं… SSP चाहते हैं कि आप पैसे खर्च करें… वे ट्रैफ़िक का केवल कुछ हिस्सा ही विशिष्ट विक्रेताओं के लिए खोल सकते हैं… अगर आप दुनिया भर में बोली नहीं लगाते हैं, तो आपको दुनिया भर में बिडस्ट्रीम नहीं मिलेगी…”

    इससे पता चलता है कि लोकेशन इंटेलिजेंस में विशेषज्ञता रखने वाले डेटा ब्रोकर इन माध्यमों से डेटा प्राप्त कर सकते हैं, जैसा कि Kaspersky जैसे स्रोतों द्वारा बताया गया है।

    उपयोगकर्ता की गोपनीयता को और भी जटिल बनाने वाली सेवाएँ ऐसी सेवाएँ हैं जो स्पष्ट रूप से गुमनाम मोबाइल विज्ञापन आईडी (MAID) – Apple के IDFA (विज्ञापनदाताओं के लिए पहचानकर्ता) या Google के AAID (Android विज्ञापन आईडी) जैसे विशिष्ट पहचानकर्ता – को वास्तविक दुनिया की व्यक्तिगत पहचान योग्य जानकारी (PII) से स्पष्ट रूप से जोड़ती हैं।

    VICE/Motherboard द्वारा 2021 में प्रकाशित एक लेख जैसी खोजी रिपोर्टों ने यह प्रमाणित किया है कि MAID को नामों, भौतिक पतों, फ़ोन नंबरों और ईमेल से कैसे जोड़ा जा सकता है। कुछ डेटा मार्केटप्लेस, जैसे डेटारेड, रेडमोब (जिन्हें पहले बड़े वैश्विक डेटासेट प्रदान करने के लिए जाना जाता था) और एजीआर मार्केटिंग सॉल्यूशंस जैसी कंपनियों के डेटासेट सूचीबद्ध करते हैं, जिनमें से एजीआर मार्केटिंग सॉल्यूशंस ने इस MAID-से-PII लिंकेज को दर्शाने वाली एक सार्वजनिक नमूना स्प्रेडशीट प्रदान की थी। यह क्षमता इस धारणा को चुनौती देती है कि MAID-आधारित ट्रैकिंग उपयोगकर्ता की गुमनामी को बनाए रखती है।

    ACLU के डेटा फॉर जस्टिस प्रोजेक्ट जैसे समूहों के विश्लेषण से यह भी पता चलता है कि विज्ञापन उद्योग उपयोगकर्ताओं को ट्रैक करने के लिए “पहचान ग्राफ़” जैसी तकनीकों का उपयोग करता है, भले ही वे अपने MAID को अक्षम या रीसेट कर दें।

    एक सामुदायिक निगरानी प्रयास

    व्यक्तिगत प्रयोगों से आगे बढ़कर जाँच के दायरे को व्यापक बनाने के उद्देश्य से, शॉट ने एक क्राउडसोर्सिंग परियोजना शुरू की है, जिसका विस्तृत विवरण अप्रैल 2025 की एक अनुवर्ती पोस्ट में दिया गया है। उपयोगकर्ताओं को ऐप्स का विश्लेषण करने के लिए उपलब्ध कराए गए टूल का उपयोग करने के लिए प्रोत्साहित किया जाता है, विशेष रूप से उन ऐप्स का जो ग्रेवी एनालिटिक्स मामले से संभावित रूप से प्रभावित हो सकते हैं (एक लीक हुए दस्तावेज़ से प्राप्त सूची एक साझा Google शीट में उपलब्ध है)।

    एक Google फ़ॉर्म प्रतिभागियों को अपने निष्कर्ष प्रस्तुत करने की अनुमति देता है, जिससे वे ऐप डेटा साझाकरण व्यवहारों का दस्तावेजीकरण करने वाले एक सार्वजनिक रूप से सुलभ डेटाबेस में योगदान कर सकते हैं। फ़ॉर्म विवरण उपयोगकर्ताओं को स्पष्ट रूप से चेतावनी देता है: “कृपया अपनी सभी व्यक्तिगत जानकारी के लिए अपने सभी इनपुट की जाँच करें। यह फ़ॉर्म इस तरह से सेट किया गया है कि मैं आपसे कोई भी व्यक्तिगत जानकारी (जैसे ईमेल या Google खाता या कुछ और) एकत्र नहीं करता, लेकिन आपका उत्तर लगभग कोई भी देख सकेगा – इसलिए सावधान रहें!”

    यह दृष्टिकोण अकादमिक गोपनीयता अनुसंधान में देखे गए रुझानों के अनुरूप है, जहाँ क्राउडसोर्सिंग वास्तविक दुनिया की अंतर्दृष्टि एकत्र करने में मदद करती है। शोधकर्ता, जिन्होंने मालवेयरबाइट्स के “लॉक एंड कोड” पॉडकास्ट के मार्च 2025 के एपिसोड में भी इन विषयों पर चर्चा की थी, योगदानकर्ताओं को सबमिट करने से पहले व्यक्तिगत विवरण संपादित करने की सलाह देते हैं।

    विश्लेषण उपकरणों के साथ-साथ, GitHub रिपॉजिटरी में नेटवर्क ग्राफ़ बनाने, ऐप्स द्वारा बनाए गए कनेक्शनों को विज़ुअलाइज़ करने और यूनिटी, गूगल और ऐपलविन जैसे प्रमुख विज्ञापन तकनीक क्षेत्रों के प्रचलन को उजागर करने के लिए कोड शामिल हैं। हाल के विश्लेषण के दौरान, शॉट ने प्रोटोकॉल बफ़र्स (protobuf), जो एक सामान्य डेटा क्रमांकन प्रारूप है, का उपयोग करते हुए एक Apple लोकेशन सेवा एंडपॉइंट (gs-loc.apple.com) से जुड़े ट्रैफ़िक का भी उल्लेख किया, जिससे भविष्य में इस बात की जाँच के रास्ते सुझाए गए कि प्लेटफ़ॉर्म-स्तरीय सेवाएँ भी ऐप डेटा संग्रह के साथ कैसे इंटरैक्ट करती हैं।

    स्रोत: Winbuzzer / Digpu NewsTex

    Share.