Η εφαρμογή Salaat First (Prayer Times), που χρησιμοποιείται για να υπενθυμίζει στους/στις μουσουλμάνους/-ες πότε να προσευχηθούν, αποδείχθηκε πως ηχογραφούσε και πωλούσε τις λεπτομερείς πληροφορίες τοποθεσίας των πιστών στη γαλλική εταιρεία Predicio, που με τη σειρά της πωλούσε τα δεδομένα αυτά σε άλλους πελάτες. Η εφαρμογή είναι κατασκευασμένη για να στέλνει ειδοποιήσεις που υπενθυμίζουν στους χρήστες πότε να προσευχηθούν, τους δείχνει προς ποια κατεύθυνση να προσεύχονται ώστε να είναι στραμμένοι προς τη Μέκκα και εμφανίζει κοντινά τζαμιά στους χρήστες με βάση την τρέχουσα τοποθεσία τους.
Η πηγή από την οποία προήλθε η αποκάλυψη εξέφρασε έντονη ανησυχία για το γεγονός ότι οι ευαίσθητες πληροφορίες θα μπορούσαν να γίνουν αντικείμενο κατάχρησης από όσους αγοράζουν και χρησιμοποιούν τα δεδομένα αυτά. Η Predicio έχει συνδεθεί στο παρελθόν με μια αλυσίδα εφοδιασμού δεδομένων που αφορούσε έναν κυβερνητικό συνεργάτη των ΗΠΑ που συνεργάζεται με την ICE (Immigration and Customs Enforcement – Τμήμα Μετανάστευσης και Τελωνείου), την Υπηρεσία Τελωνείων και Προστασίας των Συνόρων και το FBI.
Το ρεπορτάζ για την Salaat First, που έχει ληφθεί περισσότερες από 10 εκατομμύρια φορές σε Android συσκευές, επισημαίνει όχι μόνο τη χρήση θρησκευτικών εφαρμογών για τη συλλογή δεδομένων τοποθεσίας, αλλά και την ευκολία με την οποία αυτές οι ευαίσθητες πληροφορίες ανταλλάσσονται στη βιομηχανία δεδομένων τοποθεσίας. Η μητρική πλακέτα αποκλείει ορισμένες λεπτομέρειες σχετικά με το σύνολο δεδομένων, όπως το ακριβές μέγεθός της, προκειμένου να προστατεύσει την πηγή, αλλά είναι σαφές ότι οι χρήστες της εφαρμογής, που επικεντρώνεται σε μουσουλμάνους, παρακολουθούνται – πιθανότατα χωρίς τη συγκατάθεσή τους. Το Salaat First είναι επίσης διαθέσιμο σε iOS, αλλά η συγκεκριμένη έκδοση δεν αποστέλλει δεδομένα στην Predicio.
Τα ίδια τα δεδομένα που διέρρευσαν περιέχουν τις ακριβείς συντεταγμένες τοποθεσίας των χρηστών της εφαρμογής, το μοντέλο του τηλεφώνου τους, το λειτουργικό σύστημα, τη διεύθυνση IP και μια χρονική σήμανση. Περιλαμβάνεται, επίσης, το μοναδικό αναγνωριστικό διαφήμισης του χρήστη (Ad – ID) – ένα ιδιαίτερα ισχυρό κομμάτι δεδομένων που επιτρέπει στη μητρική πλακέτα να φιλτράρει την προσωρινή μνήμη σε συγκεκριμένους χρήστες και στη συνέχεια να παρακολουθεί τις κινήσεις αυτού του ατόμου με την πάροδο του χρόνου. Το σύνολο δεδομένων που συλλέγει η Predicio δεν περιορίζεται μόνο στο Salaat First, αντιθέτως περιλαμβάνει δεδομένα που δημιουργούνται και από άλλες εφαρμογές που επίσης αποστέλλουν πληροφορίες στην Predicio.
Ο Hicham Boushaba, ο προγραμματιστής του Salaat First, επιβεβαίωσε ότι η εφαρμογή αποστέλλει τα δεδομένα τοποθεσίας των χρηστών στην Predicio και είπε ότι εφάρμοσε το κιτ ανάπτυξης λογισμικού (SDK) της εταιρείας – μια δέσμη κώδικα, στην περίπτωση αυτή για τη συλλογή δεδομένων τοποθεσίας – αφότου η εταιρεία τον πλησίασε τον Μάρτιο του 2020. Ο ίδιος δήλωσε ότι η συμφωνία του με την Predicio ήταν ότι η συλλογή δεδομένων αρχικοποιείται μόνο εάν ο χρήστης κάνει λήψη της εφαρμογής στο Ηνωμένο Βασίλειο, τη Γερμανία, τη Γαλλία ή την Ιταλία. Προσέθεσε ότι όταν αποδέχτηκε τη συνεργασία με την Predicio, η συμφωνία ήταν ότι τα συλλεγόμενα δεδομένα θα είναι εντελώς ανώνυμα και θα χρησιμοποιηθούν για εξατομίκευση διαφημίσεων ή/και βελτίωση προϊόντων, όπως συμβαίνει με οποιαδήποτε άλλη εταιρεία δεδομένων. Ωστόσο, όταν διάβασε την αναφορά σχετικά με τη λειτουργία της εφαρμογής X-Mode, φοβήθηκε ότι είτε η Predicio είτε οι συνεργάτες της ενδέχεται να καταχραστούν τα δεδομένα, και αποφάσισε να τερματίσει τη συμφωνία.
Το Vice έχει αποκαλύψει στο παρελθόν πώς μια ακόμη εφαρμογή, η Muslim Pro, πουλούσε τα δεδομένα τοποθεσίας των χρηστών της σε μια εταιρεία που ονομάζεται X-Mode Social, η οποία πωλεί προϊόντα στον αμερικανικό στρατό μέσω εργολάβων. Μετά την αποκάλυψη αυτή, τόσο η Apple όσο και η Google απέκλεισαν το X-Mode από τα αντίστοιχα καταστήματα εφαρμογών τους.
Η πολιτική απορρήτου της Salaat First στον ιστότοπό της ανέφερε την Predicio, σύμφωνα με μια αρχειοθετημένη έκδοση της πολιτικής από τον Αύγουστο του 2020, ωστόσο, όταν ένας χρήστης κατεβάσει και ανοίξει για πρώτη φορά το Salaat First, η εφαρμογή δεν εμφανίζει αυτήν την πολιτική απορρήτου όταν ρωτάει τον χρήστη εάν συμφωνεί να διαμοιράζονται τα δεδομένα τοποθεσίας του. Η ίδια η εφαρμογή δεν περιέχει ούτε αντίγραφο ούτε σύνδεσμο για την πολιτική απορρήτου πουθενά αλλού, παραβιάζοντας τις πολιτικές του Google Play Store και δεν αναφέρει πουθενά ότι η εφαρμογή πωλεί τα ίδια τα δεδομένα τοποθεσίας των χρηστών και δεν τα χρησιμοποιεί μόνο για την παρουσίαση διαφημίσεων. Δεδομένων των παραπάνω, είναι απίθανο για τους περισσότερους χρήστες του Salaat First να παρέχουν κατόπιν ενημέρωσης συναίνεση στην εφαρμογή για την πώληση των δεδομένων τοποθεσίας της.
Τον Δεκέμβριο του 2020, η Motherboard του VICE και ο Νορβηγός ραδιοτηλεοπτικός οργανισμός NRK αποκάλυψαν πως η Predicio είναι μέρος μιας σύνθετης αλυσίδας εφοδιασμού δεδομένων που συνδέεται με τη Venntel, έναν κυβερνητικό συνεργάτη που πωλεί δεδομένα τοποθεσίας σε υπηρεσίες επιβολής του νόμου, όπως το Τμήμα Μετανάστευσης και Τελωνείου (ICE) και η Υπηρεσία Τελωνείων και Προστασίας των Συνόρων (CBP). Στην έρευνα αυτή διαπιστώθηκε ότι η Gravy Analytics, η μητρική εταιρεία της Venntel, λαμβάνει δεδομένα από την Predicio, τα οποία στη συνέχεια παρέχει στη Venntel.
Δεν είναι σαφές εάν συγκεκριμένα δεδομένα της Salaat First που συλλέχθηκαν από την Predicio στάλθηκαν στη συνέχεια στη Gravy και τη Venntel. Η Jolene Wiggins, επικεφαλής μάρκετινγκ της Gravy Analytics, δήλωσε με email ότι “Η Gravy Analytics δεν παρέχει άδεια για πληροφορίες εφαρμογών – συμπεριλαμβανομένου του ονόματος της εφαρμογής – από οποιονδήποτε από τους προμηθευτές δεδομένων τοποθεσίας μας”, υποδηλώνοντας ότι η εταιρεία δεν γνωρίζει ποιες εφαρμογές παρέχουν τελικά δεδομένα. “Όλοι οι προμηθευτές μας εκπροσωπούν συμβατικά και μας εγγυώνται ότι η συλλογή και η κοινή χρήση των δεδομένων που μας παρέχουν άδεια συμμορφώνεται με όλους τους ισχύοντες νόμους”, προσέθεσε. Ωστόσο, έχουν υπάρξει στο παρελθόν αποδείξεις ότι η Gravy ενδέχεται να λάβει τυχαία το όνομα των εφαρμογών από προμηθευτές.
Μετά τις αποκαλύψεις του Δεκεμβρίου, η Predicio ανέστειλε τη λειτουργία του ιστοτόπου της και όταν επανήλθε, περιελάμβανε ένα νέο μήνυμα, προσπαθώντας να αποστασιοποιηθεί από την παρακολούθηση εθνικών και θρησκευτικών ομάδων, παρά το γεγονός ότι συλλέγει λεπτομερή δεδομένα τοποθεσίας από εφαρμογή που απευθύνεται σαφώς σε μουσουλμανικό κοινό.
Ο Nihad Awad, ο εκτελεστικός διευθυντής του Συμβουλίου Αμερικανικών-Ισλαμικών Σχέσεων, δήλωσε ότι “Υπό το φως αυτών των τελευταίων αποκαλύψεων, οι ιδιοκτήτες όλων των μεγάλων μουσουλμανικών εφαρμογών θα πρέπει να διερευνήσουν διεξοδικά τον τρόπο με τον οποίο οι εταιρείες τους χειρίζονται τα δεδομένα των χρηστών, να αναγνωρίσουν δημόσια οποιαδήποτε αναγνωρισμένη πώληση δεδομένων χρηστών που θα μπορούσε να έχει αποκτηθεί από κυβερνητικούς φορείς και, στη συνέχεια να λάβουν διαφανή μέτρα για να διασφαλιστεί ότι δεν θα ξανασυμβεί. Οι κυβερνητικές υπηρεσίες πρέπει να σταματήσουν αμέσως να αποκτούν δεδομένα χρηστών από δημοφιλείς μουσουλμανικές ψηφιακές εφαρμογές για να παρακολουθούν, να κατασκοπεύουν ή να στοχεύουν με άλλο τρόπο τη μουσουλμανική κοινότητα στις ΗΠΑ, την Ευρώπη και αλλού. Το Κογκρέσο θα πρέπει επίσης να ξεκινήσει μια δημόσια έρευνα προκειμένου να λάβει πλήρη γνώση της προηγούμενης χρήσης τέτοιων δεδομένων”
Το Predicio, ωστόσο, συλλέγει δεδομένα τοποθεσίας από εφαρμογές Android και πληρώνει για προγραμματιστές εδώ και χρόνια, πράγμα που εγείρει ερωτήματα σχετικά με την περιορισμένη επιβολή των πολιτικών της Google από την ίδια.
Ο γερουσιαστής Ron Wyden, του οποίου το γραφείο διενήργησε τη δική του έρευνα για τη βιομηχανία δεδομένων ευρύτερης τοποθεσίας, δήλωσε ότι “Η Google και η Apple έκαναν ένα καλό πρώτο βήμα για την προστασία της ιδιωτικής ζωής των Αμερικανών όταν απαγόρευσαν την X-Mode Social πέρυσι. Όμως, πρέπει να απαγορεύσουν κάθε έναν από αυτούς τους σκιερούς, παραπλανητικούς διαμοιραστές δεδομένων από τα καταστήματα εφαρμογών τους, διαφορετικά, η απαγόρευση μιας εταιρείας κάθε φορά θα είναι ένας φαύλος κύκλος.”
Πηγή: VICE