Computerworld heeft zojuist een "eyeopener"-rapport gepubliceerd over de privacy van Android, waarin wordt geadviseerd dat Android doorgaans wordt afgeschilderd als wezenlijk slechter dan Apple en iPhone als het gaat om gebruikersprivacy en tracking, maar dat dit de realiteit te simplificeert. "Een van de meest stekelige misvattingen over Android is dat het volledig onverenigbaar is met privacy. Als je Android gebruikt, zo luidt het gekke denken, geef je toe aan een leven vol onvermijdelijke bewaking en het grote, boze Google-monster dat alles wat je doet in de gaten houdt en er geld mee verdient... Zoals zoveel gesprekken over Google en privacy, is deze denkwijze te simplistisch en schokkend weinig nuance. De realiteit, tenzij je in de marketingafdeling van Apple werkt, is dat (a) Android zo privé kan zijn als je wilt — en (b) het aan jou is om weloverwogen beslissingen te nemen over welke soorten basisgegevensuitwisseling je oké vindt en welke soorten compromissen je bereid bent te sluiten."
An eye-opening Android privacy blacklight 15 Jan 2025
NSA Warns iPhone And Android Users—Disable Location Tracking Jan 16, 2025
nieuw rapport over smartphone-privacytracking en een meer gedetailleerde uitleg van de advertentie-ID die NSA gebruikers waarschuwt uit te schakelen. Dit volgt op het lekken van gevoelige locatiegegevens van miljoenen Amerikanen.
Onze telefoons weten waar we zijn en waar we zijn geweest. Het probleem is dat ze een nare gewoonte hebben om die informatie met anderen te delen. En de nieuwste nachtmerrie van locatietracking die telefoongebruikers treft, laat zien dat de dreiging blijft bestaan, ondanks de nieuwe beveiligingen die in onze iPhone- en Android-apparaten zijn ingebouwd. De NSA heeft gebruikers gewaarschuwd hoe ze deze geheime tracking kunnen stoppen. En u moet deze verandering nu doorvoeren.
Zoals voor het eerst gemeld door 404media (Artikel onderin) , hebben hackers locatie-aggregator Gravy Analytics gecompromitteerd en “klantenlijsten, informatie over de bredere sector en zelfs locatiegegevens verzameld van smartphones die de precieze bewegingen van mensen weergeven” gestolen. Hierdoor is een schat aan gevoelige gegevens in het publieke domein terechtgekomen.
Deze gegevens worden verzameld via apps in plaats van via de telefoons zelf, zoals EFF uitlegt: "elke keer dat u een gerichte advertentie ziet, wordt uw persoonlijke informatie blootgesteld aan duizenden adverteerders en databrokers via een proces dat real-time bidding (RTB) wordt genoemd. Dit proces doet meer dan alleen advertenties leveren: het voedt overheidssurveillance, vormt een risico voor de nationale veiligheid en geeft databrokers eenvoudig toegang tot uw online-activiteit. RTB is misschien wel het meest privacy-invasieve surveillancesysteem waarvan u nog nooit hebt gehoord."
Dit specifieke lek heeft geleid tot verschillende lijsten met apps , die naar verluidt "gekaapt zijn om je locatie te bespioneren." Zoals Wired meldt, omvatten deze "datingsites Tinder en Grindr; enorme games zoals Candy Crush, Temple Run, Subway Surfers en Harry Potter: Puzzles & Spells; OV-app Moovit; My Period Calendar & Tracker, een app voor het bijhouden van je menstruatie met meer dan 10 miljoen downloads; populaire fitness-app MyFitnessPal; sociaal netwerk Tumblr; Yahoo's e-mailclient; Microsoft's 365 Office-app; en vluchttracker Flightradar24.... op religie gerichte apps zoals islamitische gebeds- en christelijke Bijbel-apps, verschillende zwangerschapstrackers en veel VPN-apps, die sommige gebruikers ironisch genoeg kunnen downloaden in een poging hun privacy te beschermen."
UNacast beschrijft zichzelf als een bedrijf "dat gebruikmaakt van state-of-the-art machine learning en kunstmatige intelligentie [om] waardevolle informatie uit locatiegegevens te halen en betrouwbare en privacyvriendelijke locatie-intelligentie levert. Bedrijven in alle sectoren, in elke groeifase, vertrouwen op de bruikbare inzichten van Unacast over menselijke mobiliteit om beter geïnformeerde beslissingen te nemen die beter aansluiten bij de wereld om hen heen."
Dit vat de locatiebepalingsindustrie die is ontstaan door de altijd aan, altijd bewuste apparaten die we nu overal mee naartoe nemen, netjes samen. De NSA waarschuwt dat "mobiele apparaten geolocatiegegevens van apparaten opslaan en delen door hun ontwerp... Locatiegegevens kunnen extreem waardevol zijn en moeten worden beschermd. Ze kunnen details onthullen over het aantal gebruikers op een locatie, bewegingen van gebruikers en leveranciers, dagelijkse routines (gebruiker en organisatie) en kunnen anderszins onbekende associaties tussen gebruikers en locaties blootleggen."
.....Door militaire locaties in Rusland in kaart te brengen naast de locatiegegevens, identificeerde ik militair personeel in seconden."
De extremere maatregelen voor degenen met extremere zorgen
omvatten het volledig uitschakelen van locatieservicesinstellingen en het uitschakelen van mobiele radio's en wifi-netwerken wanneer ze niet in gebruik zijn. Het is duidelijk dat dit voor bijna alle gebruikers te ver gaat.
Maar de NSA vertelt gebruikers ook om het volgende te doen, aanbevelingen die u nu absoluut moet volgen:
“Apps moeten zo min mogelijk toestemmingen krijgen: Stel privacy-instellingen in om ervoor te zorgen dat apps geen locatiegegevens gebruiken of delen… Locatie-instellingen voor dergelijke apps moeten zo worden ingesteld dat het gebruik van locatiegegevens niet is toegestaan of dat het gebruik van locatiegegevens hooguit alleen is toegestaan tijdens het gebruik van de app.
Schakel advertentiemachtigingen zoveel mogelijk uit: Stel privacy-instellingen in om advertentietracking te beperken… Reset de advertentie-ID voor het apparaat regelmatig. Dit zou minimaal wekelijks moeten gebeuren.”
Dit tweede punt is cruciaal en werd herhaald door Robert na het Gravy Analytics-lek. Android-gebruikers moeten de advertentie-ID verwijderen/resetten.
Terwijl Google uitlegt dat "de advertentie-ID wordt verwijderd wanneer een gebruiker zijn advertentie-ID verwijdert in Android-instellingen. Elke poging om toegang te krijgen tot de identifier ontvangt een reeks nullen in plaats van de identifier." Dat gezegd hebbende, waarschuwt Google ook dat hoewel "uw advertentie-ID wordt verwijderd, apps hun eigen instellingen kunnen hebben, die ook van invloed kunnen zijn op de soorten advertenties die u ziet."
Zoals EFF uitlegt, "is de advertentie-ID een reeks letters en cijfers die uw telefoon, tablet of ander slim apparaat uniek identificeert. Het bestaat voor één doel: om bedrijven te helpen u te volgen. Trackers van derden verzamelen gegevens via de apps op uw apparaat. Met de advertentie-ID kunnen ze gegevens uit verschillende bronnen koppelen aan één identiteit. Bovendien kunnen databrokers, omdat elke app en tracker dezelfde ID ziet, notities over u vergelijken. Broker A kan gegevens kopen van broker B en vervolgens de advertentie-ID gebruiken om die twee datasets aan elkaar te koppelen... Soms zullen deelnemers aan de datapijplijn beweren dat de advertentie-ID anoniem of pseudo-anoniem is, geen "persoonlijk identificeerbare" informatie, en impliceren dat het geen ernstige bedreiging voor de privacy vormt. Dit is in de praktijk niet waar.
Ten eerste wordt de advertentie-ID vaak gebruikt om gegevens te verzamelen die duidelijk persoonlijk identificeerbaar zijn, zoals gedetailleerde locatiegegevens. Als u kunt zien waar iemand werkt, slaapt, studeert, socialiseert, bidt en medische zorg zoekt, hebt u zijn e-mailadres niet nodig om hem te helpen identificeren.
En ten tweede bestaat er een hele industrie die trackers helpt om advertentie-ID's te koppelen aan directer identificerende informatie, zoals e-mailadressen en telefoonnummers. In een vacuüm is de advertentie-ID misschien anoniem, maar in de context van de trackingindustrie is het een alomtegenwoordige en effectieve identifier.”
NSA waarschuwt dat apps, "zelfs wanneer geïnstalleerd met behulp van de goedgekeurde app store, informatie kunnen verzamelen, samenvoegen en verzenden die de locatie van een gebruiker blootlegt. Veel apps vragen toestemming voor locatie en andere bronnen die niet nodig zijn voor de functie van de app. Gebruikers met locatieproblemen moeten uiterst voorzichtig zijn met het delen van informatie op sociale media."
Gelukkig is dit een gebied waar gebruikers veel meer controle hebben dan in voorgaande jaren. U kunt eenvoudig op iPhone en Android controleren welke apps uw locatie volgen of toegang hebben tot gevoelige telefoonfuncties. U moet dit regelmatig controleren en toestemmingen uitschakelen voor alles wat u zorgen baart. "Hoewel het niet altijd mogelijk is om de blootstelling van locatiegegevens volledig te voorkomen," zegt NSA, "is het mogelijk - door zorgvuldige configuratie en gebruik - om de hoeveelheid gedeelde locatiegegevens te verminderen. Bewustwording van de manieren waarop dergelijke informatie beschikbaar is, is de eerste stap."
The news is a crystalizing moment for the location data industry. For years, companies have harvested location information from smartphones, either through ordinary apps or the advertising ecosystem, and then built products based on that data or sold it to others. In many cases, those customers include the U.S. government, with arms of the military, DHS, the IRS, and FBI using it for various purposes. But collecting that data presents an attractive target to hackers.
“A location data broker like Gravy Analytics getting hacked is the nightmare scenario all privacy advocates have feared and warned about. The potential harms for individuals is haunting, and if all the bulk location data of Americans ends up being sold on underground markets, this will create countless deanonymization risks and tracking concerns for high risk individuals and organizations,” Zach Edwards, senior threat analyst at cybersecurity firm Silent Push, and who has followed the location data industry closely, told 404 Media. “This may be the first major breach of a bulk location data provider, but it won't be the last.”
Hack bij locatiedatabroker Gravy Analytics treft miljoenen . 14.01.2025 Gravy Analytics verzamelt dagelijks gegevens van meer dan een miljard apparaten wereldwijd.
https://www.unacast.com/about Gravy Analytics and Unacast have merged to provide the industry's most comprehensive suite of location intelligence solutions.
Unacast and Gravy Analytics: The Future of Location Insight 18.12.2023
Cybersecurity Information .pdf 3 blz 2020
A mobile device provides geolocation data as a service to apps. This is known as location services, and users can disable them in the settings of a device. Perhaps the most important thing to remember is that disabling location services on a mobile device does not turn off GPS, and does not significantly reduce the risk of location exposure. Disabling location services only limits access to GPS and location data by apps. It does not prevent the operating system from using location data or communicating that data to the network.
=====
Also important to remember is that GPS is not the same as location services. Even if GPS and cellular data are unavailable, a mobile device calculates location using Wi-Fi and/or BT. Apps and websites can also use other sensor data (that does not require user permission) and web browser information to obtain or infer location information [6].
Wi-Fi and BT can be used to determine a user’s location. Inconspicuous equipment (e.g., wireless sniffers) can determine signal strength and calculate location, even when the user is not actively using the wireless services.
Disabling BT completely may not be possible on some devices, even when a setting to disable BT exists. When communication is restored, saved information may be transmitted. If a mobile device has been compromised, the user may no longer be able to trust the setting indicators. Detecting compromised mobile devices can be difficult or impossible; such devices may store or transmit location data even when location settings or all wireless capabilities have been disabled.
Anything that sends and receives wireless signals has location risks similar to mobile devices. This includes, but is not limited to, fitness trackers, smart watches, smart medical devices, Internet of Things (IoT) devices, and built-in vehicle communications. Personal and household smart devices (e.g., light bulbs, cookware, thermostats, home security, etc.) often contain wireless capabilities of which the user is unaware. Such IoT devices can be difficult to secure, most have no way to turn off wireless features, and little, if any, security built in. These security and privacy issues could result in these devices collecting and exposing sensitive location information about all devices that have come into range of the IoTdevices [7]. Geolocation information contained in data automatically synced to cloud accounts could also present a risk of location data exposure if the accounts or the servers where the accounts are located are compromised.
Many apps request permission for location and other resources that are not needed for the function of the app. Users with location concerns should be extremely careful about sharing information on social media. If errors occur in the privacy settings on social media sites, information may be exposed to a wider audience than intended. Pictures posted on social media may have location data stored in hidden metadata. Even without explicit location data, pictures may reveal location information through picture content [8].
Update 18.01.2025