மொபைல் பயன்பாடுகள், குறிப்பாக இலவசமானவை, பெரும்பாலும் விரிவான தரவுத் தடங்களை உருவாக்குகின்றன, பயனர் தகவல்களை விளம்பர நெட்வொர்க்குகள் மூலம் மூன்றாம் தரப்பினருக்கு அனுப்புகின்றன – சராசரி தொலைபேசி உரிமையாளருக்கு இது பெரும்பாலும் தெளிவற்ற செயல்முறையாகும். இப்போது, பாதுகாப்பு ஆராய்ச்சியாளர் டிம் ஷாட், தனிநபர்கள் இந்தச் செயல்பாட்டைத் தெளிவுபடுத்துவதற்கான ஒரு முறையை வழங்குகிறார், ஒரு திறந்த மூல வழிகாட்டியை வெளியிடுகிறார் மற்றும் அவர்களின் சொந்த சாதனங்களிலிருந்து வெளிப்படும் நெட்வொர்க் போக்குவரத்தை இடைமறித்து பகுப்பாய்வு செய்ய வடிவமைக்கப்பட்ட மென்பொருள் கருவித்தொகுப்பை உருவாக்குகிறார்.
பயன்பாடுகளில் ஒருங்கிணைக்கப்பட்ட விளம்பர தொழில்நுட்ப கூட்டாளர்களின் சிக்கலான நெட்வொர்க் வழியாக, இருப்பிட ஆயத்தொலைவுகள் அல்லது IP முகவரிகள் போன்ற தகவல்கள் எவ்வாறு பகிரப்படலாம் என்பதை அடையாளம் காண பயனர்களுக்கு அதிகாரம் அளிப்பதே வளங்களின் நோக்கமாகும்.
கருவித்தொகுப்பு mitmproxy ஐ மையமாகக் கொண்டுள்ளது, இது பயனர்கள் தங்கள் தொலைபேசிக்கும் இணையத்திற்கும் இடையில் நெட்வொர்க் கோரிக்கைகளைப் பிடிக்க அனுமதிக்கிறது. mitmproxy ஐ நிரப்புவது என்பது பைதான் ஸ்கிரிப்ட் (mitm_test.ipynb) ஆகும், இது கைப்பற்றப்பட்ட தரவைப் பகுப்பாய்வு செய்வதில் உதவுகிறது.
இந்த ஸ்கிரிப்ட், “lat”, “lon”, “ip” அல்லது சாதன அடையாளங்காட்டிகள் போன்ற குறிப்பிட்ட முக்கிய வார்த்தைகளுக்கான போக்குவரத்து பதிவுகளைத் தேட பயனர்களை அனுமதிக்கிறது – சாத்தியமான தரவு வெளிப்பாடுகளைக் கொடியிட. திட்டத்தின் readme கோப்பு, ப்ராக்ஸியை அமைப்பதற்கான வழிமுறைகளை வழங்குகிறது, அதன் மூலம் நெட்வொர்க் போக்குவரத்தை சேனல் செய்ய ஒரு மொபைல் சாதனத்தை உள்ளமைக்கிறது மற்றும் பாதுகாப்பான HTTPS தகவல்தொடர்புகளை மறைகுறியாக்கி ஆய்வு செய்ய தேவையான பாதுகாப்பு சான்றிதழை நிறுவுகிறது.
சூழல்: முந்தைய ஆராய்ச்சி மற்றும் தொழில்துறை அபாயங்கள்
இந்த பொது வெளியீடு, பிப்ரவரி 2025 வலைப்பதிவு இடுகையில் விவரிக்கப்பட்டுள்ள ஆராய்ச்சியாளரின் முந்தைய ஆய்வுகளைப் பின்பற்றுகிறது. இருப்பிடத் தரவு நிறுவனமான Gravy Analytics (இது 2023 இல் Unacast உடன் இணைக்கப்பட்டது மற்றும் டிசம்பர் 2024 இல் தரவு விற்பனை நடைமுறைகள் தொடர்பாக தனித்தனியாக FTC நடவடிக்கையை எதிர்கொண்டது) பாதிக்கும் ஜனவரி 2025 தரவு மீறலைச் சுற்றியுள்ள அறிக்கைகளால் உந்தப்பட்டு, ஷாட், “Stack by KetchApp” என்ற மொபைல் விளையாட்டைப் பயன்படுத்தி தரவு சேகரிப்பை ஆய்வு செய்தார்.
அந்த ஆரம்ப வேலை அடிக்கடி தரவு பரிமாற்றங்களை வெளிப்படுத்தியது. குறிப்பாக, சாதன இருப்பிட சேவைகள் முடக்கப்பட்டிருந்தாலும் கூட, யூனிட்டி விளம்பரங்கள் போன்ற விளம்பரக் கூறுகள் இருப்பிட ஒருங்கிணைப்புகள் மற்றும் ஐபி முகவரிகளை அனுப்புவது காணப்பட்டது. பயன்பாட்டிற்குள் நேரடி பயனர் இணைப்பு இல்லாமல் பேஸ்புக்கின் விளம்பர நெட்வொர்க் ஐபி தரவைப் பெறுவதும் காணப்பட்டது. யூனிட்டியின் சொந்த டெவலப்பர் ஆவணங்கள் அதன் SDK சாதனம் மற்றும் கண்டறியும் தகவல்களைச் சேகரிப்பதை உறுதிப்படுத்துகிறது, ஆப் ஸ்டோர் தனியுரிமை அறிவிப்புகளுக்கான வெளிப்பாடுகளை வழங்குகிறது மற்றும் பொருந்தக்கூடிய பகுதிகளில் உள்ள பயனர்களுக்கான GDPR ஒப்புதல் வழிமுறைகளை கோடிட்டுக் காட்டுகிறது.
பயன்பாட்டு போக்குவரத்தில் பியரிங்
ஆராய்ச்சியாளரின் கருவித்தொகுப்பு பயனர்கள் அத்தகைய பரிமாற்றங்களை நேரடியாகக் கவனிக்க அனுமதிக்கிறது. போக்குவரத்தைப் படம்பிடித்த பிறகு, பைதான் நோட்புக் ஏராளமான கோரிக்கைகளை வடிகட்ட உதவுகிறது. இந்த அரை-கையேடு அணுகுமுறைக்கு வடிகட்டப்பட்ட முடிவுகளை ஆய்வு செய்ய பயனர் முயற்சி தேவைப்பட்டாலும், ஆரம்ப ஆராய்ச்சியில் ஐபி மற்றும் இருப்பிடத் தரவுகளுடன் காணப்பட்ட சாதனத் திரை பிரகாசம் அல்லது ஹெட்ஃபோன் நிலை போன்ற எதிர்பாராத தரவு புள்ளிகளைக் கண்டறிய இது ஒரு வழியை வழங்குகிறது என்று ஷாட் பரிந்துரைக்கிறார். ஆராய்ச்சியாளர் இந்த சிக்கலான தரவு இயக்கத்தை விளக்கும் ஒரு காட்சி பாய்வு விளக்கப்படத்தையும் உருவாக்கினார்.
விளம்பர தொழில்நுட்ப தரவு பைப்லைன்
ஒரு பயன்பாட்டிலிருந்து தரவு ஓட்டம் பெரும்பாலும் பல இடைத்தரகர்களை உள்ளடக்கியது. யூனிட்டி விளம்பரங்கள் போன்ற பயன்பாட்டு வெளியீட்டாளர்கள் விளம்பர இடத்தை விற்க உதவும் ஒரு சேவையான சப்ளை-சைட் பிளாட்ஃபார்ம் (SSP) இலிருந்து SDK வழியாக சேகரிக்கப்பட்ட தகவல்களை, விளம்பரதாரர்கள் விளம்பர சரக்குகளை வாங்க உதவும் மோலோகோ போன்ற டிமாண்ட்-சைட் பிளாட்ஃபார்ம்களுக்கு (DSPகள்) அனுப்பலாம். இந்த தளங்கள் நிகழ்நேர ஏல (RTB) ஏலங்களை எளிதாக்குகின்றன.
ஷாட் ஆராய்ச்சி மற்றும் கிரெப்ஸ் ஆன் செக்யூரிட்டி போன்ற விற்பனை நிலையங்களிலிருந்து அறிக்கையிடல் சிறப்பம்சமாக இருப்பதால், இந்த ஏல ஸ்ட்ரீம் கோரிக்கைகளில் பகிரப்பட்ட தரவை வென்ற ஏலதாரருக்கு அப்பால் அணுக முடியும். AdOps விவாத மன்றத்தில் ஒரு கருத்துரையாளர், பிட்ஸ்ட்ரீம் தரவை யார் அணுகுகிறார்கள் என்பது குறித்து குறிப்பிட்டார்: “பிட்ஸ்ட்ரீம் வழங்குநருடன் அவர்கள் ஒருங்கிணைத்தால் அவர்கள் அதை அணுகுவார்கள், அது SSP ஆக இருக்கும். ஏலங்களுக்கான அணுகலை அவர்கள் யாருக்கு வழங்குகிறார்கள் என்பதைச் சரிபார்க்க வேண்டியது SSP இன் பொறுப்பாகும்… SSPகள் நீங்கள் பணத்தைச் செலவிட விரும்புகிறார்கள்… அவர்கள் குறிப்பிட்ட விற்பனையாளர்களுக்கு போக்குவரத்தின் ஒரு பகுதியை மட்டுமே திறக்கக்கூடும்… நீங்கள் உலகளவில் ஏலம் எடுக்கவில்லை என்றால், நீங்கள் உலகளவில் ஏலத்தைப் பெற மாட்டீர்கள்…”
காஸ்பர்ஸ்கி போன்ற ஆதாரங்களால் விவரிக்கப்பட்டுள்ளபடி, இருப்பிட நுண்ணறிவில் நிபுணத்துவம் பெற்ற தரவு தரகர்கள் இந்த சேனல்கள் மூலம் தரவைப் பெறக்கூடும் என்பதை இது குறிக்கிறது.
பயனர் தனியுரிமையை மேலும் சிக்கலாக்குவது, வெளிப்படையாக அநாமதேயமாக்கப்பட்ட மொபைல் விளம்பர ஐடிகள் (MAIDகள்) – ஆப்பிளின் IDFA (விளம்பரதாரர்களுக்கான அடையாளங்காட்டி) அல்லது கூகிளின் AAID (ஆண்ட்ராய்டு விளம்பர ஐடி) போன்ற தனித்துவமான அடையாளங்காட்டிகள் – நிஜ உலக தனிப்பட்ட முறையில் அடையாளம் காணக்கூடிய தகவல் (PII) – மீண்டும் இணைக்கும் சேவைகளின் இருப்பு ஆகும்.
VICE/Motherboard இன் 2021 பகுதி போன்ற புலனாய்வு அறிக்கைகள், MAIDகளை பெயர்கள், இயற்பியல் முகவரிகள், தொலைபேசி எண்கள் மற்றும் மின்னஞ்சல்களுடன் எவ்வாறு தொடர்புபடுத்த முடியும் என்பதை ஆவணப்படுத்தியுள்ளன. Datarade போன்ற சில தரவு சந்தைகள், Redmob (முன்னர் பெரிய உலகளாவிய தரவுத்தொகுப்புகளை வழங்குவதாகக் குறிப்பிடப்பட்டது) மற்றும் AGR மார்க்கெட்டிங் சொல்யூஷன்ஸ் போன்ற நிறுவனங்களின் தரவுத்தொகுப்புகளை பட்டியலிடுகின்றன, அவற்றில் பிந்தையது இந்த MAID-க்கு-PII இணைப்பை விளக்கும் பொது மாதிரி விரிதாளை வழங்கியது. MAID அடிப்படையிலான கண்காணிப்பு பயனர் அநாமதேயத்தைப் பாதுகாக்கிறது என்ற கருத்தை இந்த திறன் சவால் செய்கிறது.
ACLU இன் Data for Justice Project போன்ற குழுக்களின் பகுப்பாய்வு, விளம்பரத் துறை பயனர்கள் தங்கள் MAIDகளை முடக்கினாலும் அல்லது மீட்டமைத்தாலும் கூட அவற்றைக் கண்காணிக்க “அடையாள வரைபடங்கள்” போன்ற நுட்பங்களைப் பயன்படுத்துகிறது என்பதையும் சுட்டிக்காட்டுகிறது.
ஒரு சமூக கண்காணிப்பு முயற்சி
தனிப்பட்ட பரிசோதனைக்கு அப்பால் விசாரணையின் நோக்கத்தை விரிவுபடுத்தும் நோக்கில், ஷாட் ஏப்ரல் 2025 பின்தொடர்தல் இடுகையில் விவரிக்கப்பட்ட ஒரு கூட்ட நெரிசல் திட்டத்தைத் தொடங்கினார். பயனர்கள், குறிப்பாக Gravy Analytics சூழ்நிலையால் பாதிக்கப்படக்கூடிய பயன்பாடுகளை பகுப்பாய்வு செய்ய வழங்கப்பட்ட கருவிகளைப் பயன்படுத்த ஊக்குவிக்கப்படுகிறார்கள் (கசிந்த ஆவணத்திலிருந்து பெறப்பட்ட பட்டியல் பகிரப்பட்ட Google Sheet இல் கிடைக்கிறது).
கூகிள் படிவம் பங்கேற்பாளர்கள் தங்கள் கண்டுபிடிப்புகளைச் சமர்ப்பிக்க அனுமதிக்கிறது, பயன்பாட்டு தரவு பகிர்வு நடத்தைகளை ஆவணப்படுத்தும் பொதுவில் அணுகக்கூடிய தரவுத்தளத்திற்கு பங்களிக்கிறது. படிவ விளக்கம் பயனர்களை வெளிப்படையாக எச்சரிக்கிறது: “உங்கள் தனிப்பட்ட தகவலுக்காக உங்கள் உள்ளீடுகள் அனைத்தையும் சரிபார்க்கவும். இந்தப் படிவம் உங்களிடமிருந்து தனிப்பட்ட எதையும் நான் சேகரிக்காத வகையில் அமைக்கப்பட்டுள்ளது (மின்னஞ்சல் அல்லது Google கணக்கு அல்லது எதுவாக இருந்தாலும்), ஆனால் உங்கள் பதிலை கிட்டத்தட்ட யாராலும் பார்க்க முடியும் – எனவே எச்சரிக்கையாக இருங்கள்!”
இந்த அணுகுமுறை கல்வி தனியுரிமை ஆராய்ச்சியில் காணப்படும் போக்குகளுடன் ஒத்துப்போகிறது, அங்கு கூட்ட நெரிசல் நிஜ உலக நுண்ணறிவுகளைச் சேகரிக்க உதவுகிறது. மார்ச் 2025 இல் Malwarebytes இன் “Lock and Code” பாட்காஸ்டின் எபிசோடில் இந்த தலைப்புகளைப் பற்றி விவாதித்த ஆராய்ச்சியாளர், பங்களிப்பாளர்கள் சமர்ப்பிப்பதற்கு முன் தனிப்பட்ட விவரங்களைத் திருத்துமாறு எச்சரிக்கிறார்.
பகுப்பாய்வு கருவிகளுடன், GitHub களஞ்சியத்தில் நெட்வொர்க் வரைபடங்களை உருவாக்குவதற்கான குறியீடு, பயன்பாடுகள் உருவாக்கும் இணைப்புகளைக் காட்சிப்படுத்துதல் மற்றும் Unity, Google மற்றும் Applovin போன்ற முக்கிய விளம்பர தொழில்நுட்ப டொமைன்களின் பரவலை முன்னிலைப்படுத்துதல் ஆகியவை அடங்கும். சமீபத்திய பகுப்பாய்வின் போது, Protocol Buffers (protobuf) ஐப் பயன்படுத்தி Apple இருப்பிட சேவை எண்ட்பாயிண்ட் (gs-loc.apple.com) சம்பந்தப்பட்ட போக்குவரத்தையும் ஷாட் குறிப்பிட்டார், இது ஒரு பொதுவான தரவு சீரியலைசேஷன் வடிவமாகும், இது பிளாட்ஃபார்ம்-லெவல் சேவைகள் கூட பயன்பாட்டு தரவு சேகரிப்புடன் எவ்வாறு தொடர்பு கொள்கின்றன என்பது குறித்த எதிர்கால விசாரணைக்கான வழிகளை பரிந்துரைக்கிறது.
மூலம்: Winbuzzer / Digpu NewsTex