Недавно наткнулся на интересное исследование на сайте Timsh org, где автор разобрал, как приложения собирают и передают ваши данные. В эксперименте использовалось старое устройство iPhone и перехват трафика. На телефон было установлено условно некоторое рандомное приложение — для эксперимента это был Stack от KetchApp. Автор перехватывал траффик и смотрел, что передается из приложения во внешний мир. А передавалось очень много всего даже при ответе «нет» на вопрос «Allow tracking?».
В частности, IP-адрес (что позволяет определить ваше местоположение через обратный DNS), приблизительная геолокация (даже с отключенными службами геопозиции),
модель устройства, уровень заряда батареи, уровень яркости экрана, количество свободной памяти и другие параметры.
Данные уходят конечно не в компанию-автор приложения, а неким третьим сторонам. То есть, эти третьи стороны собирают данные с большинства приложений на вашем телефоне, причем потоки идут каждый раз, когда приложение работает.
Автор пишет о двух крупных группах игроков — SSP и DSP.
К SSP (Supply-Side Platforms) относятся те, что собирают данные из приложения — Unity Ads, IronSource, Adjust. Есть также DSP (Demand-Side Platforms), которые управляют рекламными аукционами, это Moloco Ads, Criteo.
Рекламодатели получают доступ к данным через DSP. Брокеры данных — агрегируют и продают данные. Например, Redmob, AGR Marketing Solutions. Причем последний продает базы данных с PII, включая имя, адрес, телефон и даже рекламные идентификаторы (IDFA/MAID).
Какие данные отправляются? Вот к примеру тот Slack от KetchApp слал в Unity Ads геолокацию (широта, долгота), IP-адрес (включая серверные IP, например, Amazon AWS), уникальные идентификаторы устройства: IDFV (идентификатор для конкретного разработчика) и IDFA (рекламный идентификатор), а также такие доп параметры как модель телефона, уровень заряда, состояние памяти, яркость экрана, подключение наушников и даже точное время загрузки системы.
У DSP для продажи информации есть система RTB (real-time bidding). Данные из приложения передаются через SSP (например, Unity Ads), а затем в DSP (например, Moloco Ads), где в реальном времени проводятся аукционы для показа релевантной рекламы. На каждом этапе данные передаются десяткам, а то и сотням компаний.
Да, отвечая «Не хочу делиться данными», вы отключаете только отсылку IDFA (рекламный идентификатор), но при при этом другие данные, такие как IP-адрес, User-Agent и геолокация, и все эти модель телефона и свободная память, все равно передаются. Совместно они являются таким же фингерпринтом в моменте, как и рекламный идентификатор. Приложения при желании все равно могут вас идентифицировать по множеству параметров: IP-адресу, модели устройства, версии ОС, шрифтам, разрешению экрана, уровню батареи, часовому поясу и другим данным, так как получают эту информацию с сотни других мест. Другой вопрос, что «конечным приложениям» это не надо, это не бесплатно же, но тем, кто через них показывает вам рекламу это надо, и у них эта инфа есть. Ну и всякие спецслужбы легко могут получить доступ при необходимости, разумеется.
Если вы используете несколько приложений одного разработчика, идентификатор IDFV позволяет связать данные из всех приложений.
Наверное, это не секрет совсем, но в Facebook (Meta) отправляют данные почти все, при том, что у пользователя никто согласия не спрашивает. То есть, если у вас на телефоне есть фейсбук, то все, бинго, любые данные из любых других приложений начинают быть помеченными вашим профилем, даже, если вы в тех приложениях запретили делиться информацией.
Компании обмениваются пользовательскими данными друг с другом. Например, Facebook обменивается информацией с Amazon, Google, TikTok, а мобильные SDK (например, Appsflyer, Adjust) делают перекрестную привязку пользователей между разными сервисами, потому что такой обмен повышает цену и качество информации сразу у всех участников обмена. Таким образом, удаление одного приложения не мешает вашим данным «путешествовать» между разными платформами.
Заодно выяснилось, что Unity, который вообще-то 3D движками занимается для игр, в основном зарабатывает на продаже вот этих собираемых данных. Конкретно в 2023 году у них был доход с этого направления $2 млрд («Mobile Game Ad Network»). В 2022 году Unity поглотил IronSource — еще одного гиганта мобильной рекламы. IronSource занимается анализом поведения пользователей и оптимизацией монетизации, а также продажей данных рекламодателям. Теперь Unity через LevelPlay может управлять не только размещением рекламы, но и агрегацией данных, продавая их другим компаниям.
Большая часть мобильных игр создается на Unity, особенно free-to-play игры. Это позволяет Unity иметь доступ к данным с миллионов устройств по всему миру, даже без явного согласия пользователя. Разработчики часто не знают, насколько глубоко Unity отслеживает данные в их играх.
Вывод: отключение рекламы или запрет трекинга на уровне ОС — это всего лишь небольшое препятствие. Данные о вас все равно собираются, анализируются и передаются сотням компаний.
Ссылочку смотрите ниже
Being in America 