Close Menu
    Subscribe
    Friday, January 2

    নতুন টুল প্রকাশ করে কিভাবে অ্যাপের বিজ্ঞাপনগুলি আপনার অবস্থান ট্র্যাক করার জন্য নেটওয়ার্ক ডেটা ট্র্যাকিং ব্যবহার করে

    DeskBy No Comments6 Mins Read

    মোবাইল অ্যাপ, বিশেষ করে বিনামূল্যের অ্যাপগুলি, প্রায়শই বিস্তৃত ডেটা ট্রেইল তৈরি করে, বিজ্ঞাপন নেটওয়ার্কের মাধ্যমে অদৃশ্য তৃতীয় পক্ষের কাছে ব্যবহারকারীর তথ্য প্রেরণ করে – একটি প্রক্রিয়া যা গড় ফোন মালিকদের কাছে মূলত অস্বচ্ছ। এখন, নিরাপত্তা গবেষক টিম শট ব্যক্তিদের জন্য এই কার্যকলাপকে সম্ভাব্যভাবে আলোকিত করার জন্য একটি পদ্ধতি অফার করেন, একটি ওপেন-সোর্স গাইড এবং তার সাথে থাকা সফ্টওয়্যার টুলকিট প্রকাশ করে যা তাদের নিজস্ব ডিভাইস থেকে নির্গত নেটওয়ার্ক ট্র্যাফিককে আটকাতে এবং বিশ্লেষণ করার জন্য ডিজাইন করা হয়েছে।

    এই রিসোর্সগুলির লক্ষ্য হল ব্যবহারকারীদের অবস্থান স্থানাঙ্ক বা আইপি ঠিকানার মতো তথ্য কীভাবে ভাগ করা যেতে পারে তা সনাক্ত করার ক্ষমতা দেওয়া, প্রায়শই অ্যাপগুলিতে সংহত বিজ্ঞাপন প্রযুক্তি অংশীদারদের জটিল নেটওয়ার্কের মাধ্যমে।

    টুলকিটটি mitmproxy-এর উপর কেন্দ্রীভূত, একটি সুপরিচিত ওপেন-সোর্স ইন্টারেক্টিভ HTTPS প্রক্সি টুল, যা ব্যবহারকারীদের তাদের ফোন এবং ইন্টারনেটের মধ্যে নেটওয়ার্ক অনুরোধগুলি ক্যাপচার করতে দেয়। mitmproxy এর পরিপূরক হল একটি পাইথন স্ক্রিপ্ট (mitm_test.ipynb) যা ক্যাপচার করা ডেটা পার্সিংয়ে সহায়তা করে।

    এই স্ক্রিপ্টটি ব্যবহারকারীদের সম্ভাব্য ডেটা এক্সপোজার চিহ্নিত করার জন্য নির্দিষ্ট কীওয়ার্ড – যেমন “lat”, “lon”, “ip”, অথবা ডিভাইস শনাক্তকারী – এর জন্য ট্র্যাফিক লগ অনুসন্ধান করতে সক্ষম করে। প্রকল্পের রিডমি ফাইলটি প্রক্সি সেট আপ করার, নেটওয়ার্ক ট্র্যাফিক চ্যানেল করার জন্য একটি মোবাইল ডিভাইস কনফিগার করার এবং নিরাপদ HTTPS যোগাযোগ ডিক্রিপ্ট এবং পরিদর্শন করার জন্য প্রয়োজনীয় সুরক্ষা শংসাপত্র ইনস্টল করার নির্দেশাবলী প্রদান করে।

    প্রসঙ্গ: পূর্ববর্তী গবেষণা এবং শিল্প ঝুঁকি

    এই পাবলিক রিলিজটি গবেষকের পূর্ববর্তী অনুসন্ধানগুলিকে অনুসরণ করে যা ফেব্রুয়ারী 2025 সালের একটি ব্লগ পোস্টে বিশদভাবে বর্ণনা করা হয়েছে। জানুয়ারী 2025 সালের ডেটা লঙ্ঘনের ফলে লোকেশন ডেটা ফার্ম গ্রেভি অ্যানালিটিক্স (যা 2023 সালে Unacast এর সাথে একীভূত হয়েছিল এবং 2024 সালের ডিসেম্বরে ডেটা বিক্রির অনুশীলনের জন্য পৃথকভাবে FTC ব্যবস্থার মুখোমুখি হয়েছিল) প্রভাবিত করে এমন প্রতিবেদন দ্বারা অনুপ্রাণিত হয়ে, শট মোবাইল গেম “Stack by KetchApp” ব্যবহার করে ডেটা সংগ্রহ তদন্ত করেছিলেন।

    সেই প্রাথমিক কাজটি ঘন ঘন ডেটা ট্রান্সমিশন প্রকাশ করেছে। উল্লেখযোগ্যভাবে, ইউনিটি বিজ্ঞাপনের মতো বিজ্ঞাপনের উপাদানগুলি ডিভাইস লোকেশন পরিষেবা বন্ধ থাকা সত্ত্বেও লোকেশন স্থানাঙ্ক এবং আইপি ঠিকানা পাঠাতে দেখা গেছে। ফেসবুকের বিজ্ঞাপন নেটওয়ার্ক অ্যাপের মধ্যে কোনও সরাসরি ব্যবহারকারীর লিঙ্ক ছাড়াই আইপি ডেটা গ্রহণ করতে দেখা গেছে। ইউনিটির নিজস্ব ডেভেলপার ডকুমেন্টেশন নিশ্চিত করে যে এর SDK ডিভাইস এবং ডায়াগনস্টিক তথ্য সংগ্রহ করে, অ্যাপ স্টোর গোপনীয়তা ঘোষণার জন্য প্রকাশ প্রদান করে এবং প্রযোজ্য অঞ্চলের ব্যবহারকারীদের জন্য GDPR সম্মতি প্রক্রিয়ার রূপরেখা দেয়।

    অ্যাপ ট্র্যাফিকের সাথে পিয়ারিং

    গবেষকের টুলকিট ব্যবহারকারীদের সম্ভাব্যভাবে এই ধরনের ট্রান্সমিশন সরাসরি পর্যবেক্ষণ করতে দেয়। ট্র্যাফিক ক্যাপচার করার পরে, পাইথন নোটবুক অসংখ্য অনুরোধ ফিল্টার করতে সাহায্য করে। যদিও এই আধা-ম্যানুয়াল পদ্ধতির ফিল্টার করা ফলাফল পরীক্ষা করার জন্য ব্যবহারকারীর প্রচেষ্টা প্রয়োজন, শট পরামর্শ দেন যে এটি সম্ভাব্যভাবে অপ্রত্যাশিত ডেটা পয়েন্টগুলি, যেমন ডিভাইস স্ক্রিনের উজ্জ্বলতা বা হেডফোনের অবস্থা, যা প্রাথমিক গবেষণায় আইপি এবং অবস্থান ডেটার পাশাপাশি পর্যবেক্ষণ করা হয়েছিল, উন্মোচন করার একটি উপায় অফার করে। গবেষক এই জটিল ডেটা চলাচলের চিত্র তুলে ধরে একটি ভিজ্যুয়াল ফ্লোচার্টও তৈরি করেছেন।

    বিজ্ঞাপন প্রযুক্তি ডেটা পাইপলাইন

    একটি অ্যাপ থেকে ডেটা প্রবাহে প্রায়শই একাধিক মধ্যস্থতাকারী জড়িত থাকে। সাপ্লাই-সাইড প্ল্যাটফর্ম (SSP) থেকে SDK-এর মাধ্যমে সংগৃহীত তথ্য – একটি পরিষেবা যা অ্যাপ প্রকাশকদের বিজ্ঞাপনের স্থান বিক্রি করতে সহায়তা করে, যেমন ইউনিটি অ্যাডস – ডিমান্ড-সাইড প্ল্যাটফর্ম (DSP) -তে প্রেরণ করা যেতে পারে, যেমন Moloco, যা বিজ্ঞাপনদাতাদের বিজ্ঞাপনের তালিকা কিনতে সহায়তা করে। এই প্ল্যাটফর্মগুলি রিয়েল-টাইম বিডিং (RTB) নিলামকে সহজতর করে।

    ক্রেবস অন সিকিউরিটির মতো আউটলেট থেকে শট গবেষণা এবং প্রতিবেদন হাইলাইট করে, এই বিডস্ট্রিম অনুরোধগুলিতে ভাগ করা ডেটা বিজয়ী দরদাতার বাইরেও অ্যাক্সেসযোগ্য হতে পারে। অ্যাডঅপস আলোচনা ফোরামে একজন মন্তব্যকারী বিডস্ট্রিম ডেটা কে অ্যাক্সেস করে সে সম্পর্কে উল্লেখ করেছেন: “তারা যদি বিডস্ট্রিমের সরবরাহকারীর সাথে একীভূত হয়, যা হবে এসএসপি। বিডগুলিতে তারা কাকে অ্যাক্সেস দেয় তা যাচাই করার দায়িত্ব এসএসপির উপর বর্তায়… এসএসপিরা আপনাকে অর্থ ব্যয় করতে চায়… তারা নির্দিষ্ট বিক্রেতাদের জন্য ট্র্যাফিকের কিছু অংশ উন্মুক্ত করতে পারে… যদি আপনি বিশ্বব্যাপী বিড না করেন, তাহলে আপনি বিশ্বব্যাপী বিডস্ট্রিম পাবেন না…”

    এটি পরামর্শ দেয় যে অবস্থান গোয়েন্দায় বিশেষজ্ঞ ডেটা ব্রোকাররা ক্যাসপারস্কির মতো সূত্র দ্বারা বর্ণিত এই চ্যানেলগুলির মাধ্যমে সম্ভাব্যভাবে ডেটা অর্জন করতে পারে।

    ব্যবহারকারীর গোপনীয়তাকে আরও জটিল করে তোলে এমন পরিষেবাগুলির অস্তিত্ব যা স্পষ্টভাবে বেনামী মোবাইল বিজ্ঞাপন আইডি (MAIDs) – অ্যাপলের IDFA (বিজ্ঞাপনদাতাদের জন্য সনাক্তকারী) বা গুগলের AAID (অ্যান্ড্রয়েড বিজ্ঞাপন আইডি) – এর মতো অনন্য শনাক্তকারী – বাস্তব-জগতের ব্যক্তিগতভাবে সনাক্তকরণযোগ্য তথ্য (PII) – এর সাথে লিঙ্ক করে।

    VICE/Motherboard-এর ২০২১ সালের একটি অনুসন্ধানী প্রতিবেদনে, MAID-গুলিকে নাম, ভৌত ঠিকানা, ফোন নম্বর এবং ইমেলের সাথে কীভাবে সম্পর্কযুক্ত করা যেতে পারে তা নথিভুক্ত করা হয়েছে। Datarade-এর মতো কিছু ডেটা মার্কেটপ্লেস, Redmob (পূর্বে বৃহৎ বিশ্বব্যাপী ডেটাসেট অফারকারী হিসাবে পরিচিত) এবং AGR মার্কেটিং সলিউশনের মতো কোম্পানিগুলির ডেটাসেট তালিকাভুক্ত করে, যার মধ্যে পরবর্তীটি এই MAID-থেকে-PII লিঙ্কেজ চিত্রিত করে একটি পাবলিক নমুনা স্প্রেডশিট প্রদান করে। এই ক্ষমতা MAID-ভিত্তিক ট্র্যাকিং ব্যবহারকারীর পরিচয় গোপন রাখে এমন ধারণাটিকে চ্যালেঞ্জ করে।

    ACLU-এর ডেটা ফর জাস্টিস প্রজেক্টের মতো গোষ্ঠীগুলির বিশ্লেষণে আরও উল্লেখ করা হয়েছে যে বিজ্ঞাপন শিল্প ব্যবহারকারীদের ট্র্যাক করার জন্য “পরিচয় গ্রাফ”-এর মতো কৌশল ব্যবহার করে, এমনকি যদি তারা তাদের MAID-গুলিকে অক্ষম বা রিসেট করে।

    একটি কমিউনিটি ওয়াচ প্রচেষ্টা

    ব্যক্তিগত পরীক্ষা-নিরীক্ষার বাইরে তদন্তের পরিধি আরও বিস্তৃত করার চেষ্টা করে, শট ২০২৫ সালের এপ্রিলের একটি ফলো-আপ পোস্টে বিস্তারিতভাবে একটি ক্রাউডসোর্সিং প্রকল্প শুরু করেছেন। ব্যবহারকারীদের অ্যাপ বিশ্লেষণের জন্য প্রদত্ত সরঞ্জামগুলি ব্যবহার করতে উৎসাহিত করা হচ্ছে, বিশেষ করে যেগুলি গ্রেভি অ্যানালিটিক্স পরিস্থিতির দ্বারা সম্ভাব্যভাবে জড়িত (একটি ফাঁস হওয়া নথি থেকে প্রাপ্ত একটি তালিকা একটি শেয়ার করা গুগল শিটে পাওয়া যায়)।

    একটি গুগল ফর্ম অংশগ্রহণকারীদের তাদের ফলাফল জমা দেওয়ার অনুমতি দেয়, অ্যাপ ডেটা শেয়ারিং আচরণের ডকুমেন্টেশনের জন্য একটি সর্বজনীনভাবে অ্যাক্সেসযোগ্য ডাটাবেসে অবদান রাখে। ফর্মের বিবরণটি ব্যবহারকারীদের স্পষ্টভাবে সতর্ক করে: “আপনার ব্যক্তিগত তথ্যের জন্য আপনার সমস্ত ইনপুট পরীক্ষা করুন। এই ফর্মটি এমনভাবে সেট করা হয়েছে যাতে আমি আপনার কাছ থেকে ব্যক্তিগত কিছু সংগ্রহ না করি (যেমন ইমেল বা গুগল অ্যাকাউন্ট বা অন্য কিছু), তবে আপনার প্রতিক্রিয়া কার্যত যে কেউ দেখতে পাবে – তাই সচেতন থাকুন!”

    এই পদ্ধতিটি একাডেমিক গোপনীয়তা গবেষণায় দেখা প্রবণতাগুলির সাথে সামঞ্জস্যপূর্ণ, যেখানে ক্রাউডসোর্সিং বাস্তব-বিশ্বের অন্তর্দৃষ্টি সংগ্রহ করতে সহায়তা করে। গবেষক, যিনি ২০২৫ সালের মার্চ মাসে ম্যালওয়্যারবাইটসের “লক অ্যান্ড কোড” পডকাস্টের একটি পর্বে এই বিষয়গুলি নিয়েও আলোচনা করেছিলেন, তিনি অবদানকারীদের জমা দেওয়ার আগে ব্যক্তিগত বিবরণ সংশোধন করার জন্য সতর্ক করেন।

    বিশ্লেষণ সরঞ্জামগুলির পাশাপাশি, GitHub সংগ্রহস্থলে নেটওয়ার্ক গ্রাফ তৈরি করার জন্য কোড অন্তর্ভুক্ত রয়েছে, অ্যাপগুলির সংযোগগুলি কল্পনা করা এবং ইউনিটি, গুগল এবং অ্যাপলোভিনের মতো প্রধান বিজ্ঞাপন প্রযুক্তি ডোমেনগুলির ব্যাপকতা হাইলাইট করা। সাম্প্রতিক বিশ্লেষণের সময়, শট প্রোটোকল বাফার (protobuf) ব্যবহার করে একটি অ্যাপল লোকেশন সার্ভিস এন্ডপয়েন্ট (gs-loc.apple.com) জড়িত ট্র্যাফিকের বিষয়টিও লক্ষ্য করেছেন, যা একটি সাধারণ ডেটা সিরিয়ালাইজেশন ফর্ম্যাট, যা প্ল্যাটফর্ম-স্তরের পরিষেবাগুলি অ্যাপ ডেটা সংগ্রহের সাথে কীভাবে ইন্টারঅ্যাক্ট করে তা ভবিষ্যতের তদন্তের উপায়গুলি নির্দেশ করে।

     

    সূত্র: Winbuzzer / Digpu NewsTex

    Share.