Diese Woche hat ein Hack die Cybersicherheit wieder ins Rampenlicht gerückt und etwas Großes ans Licht gebracht. Der Angriff richtete sich jedoch nicht gegen Benutzer, sondern gegen ein „Data-Scraper“-Unternehmen, das den Standort von Tausenden von Benutzern erfasst und ihn möglicherweise an den Meistbietenden verkauft. Am besorgniserregendsten ist, dass das Unternehmen die Standortdaten von Smartphone-Apps erhält, ohne dass die Entwickler davon Kenntnis haben.
Gravy Analytics ruft über beliebte Apps Standortdaten von Millionen von Smartphones ab
Eine Hackergruppe hat Gravy Analytics gehackt, ein Unternehmen, das sich auf die Erfassung von Standortdaten konzentriert. In der Vergangenheit wurde Gravy dabei erwischt, wie er Informationen an Regierungsorganisationen verkaufte. Das Unternehmen hat die Daten nicht durch Trojaner in Apps oder durch Hacken des Codes gesammelt. Das Unternehmen hat sich entschieden, das in Smartphone-Apps so weit verbreitete Werbeökosystem zu nutzen. Genauer gesagt nutzen sie das Echtzeit-Gebotssystem (RTB), das heute das Segment dominiert. Das bedeutet auch, dass App-Entwickler dabei kein Mitspracherecht haben. Die überwiegende Mehrheit war sich also nicht einmal bewusst, dass so etwas passierte.
RTB ist ein System, bei dem Unternehmen darauf bieten, dass ihre Anzeigen in Apps sichtbar sind. Dies bedeutet auch, dass Datenbroker den Prozess „beobachten“ können und die Standortdaten der Smartphone-Benutzer behalten, wenn sie dies wünschen. Dem Bericht von 404 Media und Wired zufolge sind Millionen von Nutzern in den USA, Russland und Europa betroffen.
Hinweise deuten darauf hin, dass die gestohlenen Standortdaten aus dem Jahr 2024 stammen
Es ist noch nicht klar, ob Gravy der Hauptakteur beim Diebstahl von Benutzerdaten ist. Es ist auch möglich, dass sie die Daten von anderen Firmen beziehen. Das RTB-System ermöglicht es böswilligen Unternehmen, Standortdaten zu erhalten, indem sie sich als potenzielle Werbetreibende ausgeben. Sie können mit dem Sammeln von Daten beginnen, indem sie einfach auf Ausschreibungsplattformen zugreifen oder andere Ad-Tech-Unternehmen übernehmen. Gravy hat eine Tochtergesellschaft namens Venntel. Letzteres ist das Unternehmen, das für den Verkauf von Standortdaten direkt mit US-Regierungsbehörden verhandelt. Sie verkaufen die Daten auch an traditionellere Handelsunternehmen.
Einige Hinweise deuten darauf hin, dass die entdeckten Daten aus dem letzten Jahr stammen. Call of Duty: Mobile gehört zu den betroffenen Apps und der Hack zeigte, dass Gravy Benutzerdaten aus dem „Season 5“-Update gesammelt hat. Dieses Update kam im Mai 2024. Außerdem werden die Daten nicht über das GPS der Smartphones, sondern über deren IP-Adresse abgerufen. Dies trug dazu bei, dass die Praktiken des Unternehmens noch unbemerkter blieben.
Von Gravys Praktiken betroffene Apps
Es gibt eine riesige Liste von rund 12.000 Apps, die von Gravys Standortdaten-Scraping betroffen sind. Obwohl es unmöglich ist, sie alle aufzulisten, gibt es einige, die durch ihre Beliebtheit oder Nische hervorstechen. Die Liste umfasst unter anderem Tinder, Grindr, My Period Calendar & Tracker, MyFitnessPal, Tumblr, Yahoo Mail, Microsoft 365, Flightradar24, Moovit, Muslim Pro und Christian Bible. Betroffen waren auch beliebte Spiele wie Candy Crush, Temple Run, Subway Surfers und Harry Potter: Puzzles & Spells. Die vollständige Liste umfasst auch viele VPN-Apps und Schwangerschafts-Tracker.
Die meisten der betroffenen App-Entwickler äußerten sich nicht zu den Erkenntnissen. Allerdings behaupten die Entwickler von Flightradar24, Tinder, Grindr und Muslim Pro, dass sie nichts mit Gravy zu tun haben oder noch nie von dem Unternehmen gehört haben. Das Problem betrifft Apps sowohl auf Android- als auch auf iOS-Geräten. Allerdings haben weder Google noch Apple bisher eine Stellungnahme zu dieser Angelegenheit abgegeben.
