freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

美军从APP中购买位置数据用于支持特种作战部队的海外任务
2020-11-20 14:28:19
所属地 天津

近日,有分析指出,多个下载量近亿的Muslim祈祷、Quran经等APP被曝将用户的位置等数据共享给一家数据公司,而那家数据公司正在将这些特定APP的位置数据出售给美国军队。

该分析由Motherboard报道,除了上述提到的APP,还有Muslim约会APP,Craigslist APP,天气APP甚至用来进行量尺的APP都被用于数据出售。

Motherboard通过公共记录,对开发人员的采访以及技术分析,他们发现数据流向两个公司,一家名为Babel Street的公司,该公司有一种名为Locate X的产品,美国特种作战司令部(USSOCOM)(负责反恐,平叛和特种侦察的军事部门),购买了Locate X的使用权,以协助海外特种部队作战。

1606102616_5fbb2e58037e8e6a2d2a6.png!small

该公司此前黑鸟也介绍过,是一个社交媒体和网络监控以及做相关研究分析的公司。

1606102624_5fbb2e604be5d241eb4ce.png!small

根据采购记录,美国特种作战司令部从一家名为Babel Street的公司购买了位置数据产品Locate X的访问权,其4月份购买了Locate X的“附加软件许可证”和另一种专注于文本分析的产品BabelX 。记录显示,这批附加许可证的价格约为90,600美元。。一位前Babel Street员工称该产品的用户可以在地图上绘制形状,查看在该位置上具有相关数据的所有设备,然后跟随特定设备查看它在哪里。

在一份声明中,美国特种作战司令部发言人蒂姆·霍金斯(Tim Hawkins)确认购买了Locate X,并补充说:“我们对软件的访问用于支持特种作战部队在海外的任务要求。我们严格遵守既定的程序和政策,以保护隐私和公民自由,美国公民的宪法和法律权利。”

另一个数据流向了一家名为X-Mode的公司进行的,该公司直接从应用程序获取位置数据,然后将该数据出售给承包商,甚至军方。

1606102637_5fbb2e6d49ecca90ef8d3.png!small

该公司更专注于位置数据收集

1606102645_5fbb2e757f933c9001194.png!small

其中,将用户位置数据发送到X-Mode公司的APP还有Mosque Pro,该应用程序提醒用户何时祈祷以及"麦加"相对于用户当前位置的方向。Google Play显示该应用程序在Android上的下载量已超过5000万次,而Muslim Pro的网站显示,该平台在包括iOS在内的其他平台上的下载量总计已超过9800万次。其他APP还有Muslim Mingle约会应用程序,Accupedo计步器应用程序,CPlus for Craigslist应用程序。总计用户有亿级量。

3月,技术出版物Protocol首次报告说,美国海关和边境保护局(CBP)以及移民和海关执法局(ICE)等执法机构正在使用LocateX。Motherboard获得了一份内部特勤局文件,确认了该机构正在使用该产品。包括CBP 和国税局(IRS)在内的一些政府机构还从另一家名为Venntel的供应商那里购买了位置数据的访问权。

目前一些位置数据公司会通过出价流(bidstream)获取APP位置数据,该数据是从实时广告中收集的信息,当广告商付款以将其广告插入人们的浏览会话时,便会进行实时数据同步。公司还经常从软件开发工具包(SDK)中获取数据。

1606102660_5fbb2e841c695b1631846.png!small

1606102665_5fbb2e897885a5939422a.png!small

位置数据公司X-Mode与Babel Street不同,它鼓励应用开发人员将其SDK整合到自己的应用中。然后,SDK收集应用程序用户的位置数据并将其发送到X-Mode;作为回报,X-Mode根据每个应用程序拥有多少用户向应用程序开发人员支付费用。例如,根据X-Mode的网站,在美国每天有50,000名活跃用户的应用程序每月可为开发人员赚取1,500美元。

X-Mode首席执行官Joshua Anton在最近表示,该公司每月在美国境内跟踪2500万台设备,并在欧盟,拉丁美洲和亚太地区的其他地方跟踪4000万台设备。其SDK嵌入在大约400个应用程序中。

分析人员通过流量抓取发现,上述提到的APP都存在多次向X-Mode的网络节点发送详细的位置数据,iOS研究人员和Guardian创始人Will Strafach表示,他还看到iOS版的Muslim Pro将位置数据发送到X-Mode。数据传输还包括手机当前收集到的wifi网络的名称,时间戳以及有关手机的信息(例如型号)。

据报道称,X-Mode将对此类数据的访问权出售给各种不同的客户。这些客户包括一家私人情报公司,该公司的目标是使用位置数据来追踪人们到谁的家门口。X-Mode还展示了如何使用其数据来追踪新冠病毒感染人员的位置。

当然,这些客户还包括美国军事承包商。X-Mode其网站上受信任的合作伙伴部分的存档版本中,将内华达山脉公司和Systems & Technology Research列为客户。

内华达山脉公司为美国空军制造战斗机,并支持承包商诺斯罗普·格鲁曼公司为美国陆军开发网络和电子战能力。而Systems & Technology Research的采购记录显示与美国陆军,海军和空军合作,并为情报分析师提供“数据分析”支持。

目前最新报道称,参议员罗恩·怀登(Ron Wyden)在一份声明中对Motherboard表示,X-Mode表示正在将从美国手机中收集的位置数据出售给美国军事客户。

“在9月与我办公室的电话中,数据经纪人X-Mode Social的律师证实,该公司正在通过国防承包商将从美国电话中收集的数据出售给美国军事客户。该公司援引保密协议,但拒绝了以确定购买这些数据的特定国防承包商或特定政府机构。”

X-Mode在一封电子邮件中告诉Motherboard,该公司“与内华达山脉(Sierra Nevada)或STR不合作”,但并未否认他们曾经是客户。(由于Motherboard继续发布报告,并且参议员Ron Wyden的办公室对位置数据行业进行了自己的调查,X-Mode已从Trusted Partners页面中删除了多个公司名称,包括内华达山脉公司)

目前Muslim Pro, a Muslim prayer 和Quran app表示将不再与X-Mode共享用户数据。

1606102686_5fbb2e9ee7cf6ad416438.png!small

最后X-Mode称,他们将其数据售卖给少数可能与政府军事部门合作的技术公司,主要侧重于三个方面:反恐,网络安全和预测未来新冠病毒热点。

参考链接:

https://www.vice.com/en/article/jgqm5x/us-military-location-data-xmode-locate-x

https://www.vice.com/en/article/g5bq89/muslim-pro-location-data-military-xmode

# 资讯 # 美国
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者