最近阅读到关于 Gravy Analytics 的大规模地理定位数据泄露事件，涉及 2000 多个应用，在 AppStore 和 Google Play 中均有，这些应用在未获用户同意的情况下秘密收集地理定位数据，甚至有时开发者并不知情。作者查看了相关列表，发现自己的 iPhone 上安装了至少 3 个此类应用。这促使作者萌生追踪自身外部地理定位数据的想法，比如购买被某些应用泄露的自身地理定位数据。

主要观点总结：

• 介绍了因 Gravy Analytics 数据泄露而引发的对自身地理定位数据追踪的研究。
• 详细描述了研究过程中使用的设备和工具，如旧 iPhone 11、Charles Proxy 等。
• 展示了应用在启动后发送的大量请求，包括包含地理定位信息的请求，如向 https://o.isx.unity3d.com 发送的请求。
• 提及 Unity 的主要收入来源是 Unity Ads，以及在请求中暴露的用户 IP、地理位置等信息。
• 还发现了 Facebook 在未获授权的情况下收集用户 IP 和时间戳等信息。
• 讨论了应用请求中一些看似不必要的数据，如屏幕亮度等，并对其用途提出疑问。
• 介绍了 ifv 和 advertisingTrackingId（IDFA）等标识符，以及它们在应用跟踪中的作用。
• 阐述了数据从应用到第三方的流动过程，如 Unity Ads 作为 SSP 收集数据，Moloco Ads 作为 DSP 转售数据。
• 寻找数据出售的地方，发现了 Datarade 等数据市场，以及其中的 Redmob 等数据集。
• 提到可以通过购买 MAID <> PII 类型的数据来追踪自己，并创建了包含相关数据流程的流程图。

关键信息总结：

• 多个应用在未经用户同意的情况下收集和发送地理定位数据。
• Unity Ads 是重要的广告网络，收集大量用户数据。
• Facebook 未经授权收集用户信息。
• 数据从应用通过 SSP 和 DSP 流向广告交换和数据经纪人。
• Datarade 等数据市场提供各种数据交易。
• 可以通过购买特定数据来追踪自己的位置信息。

重要细节总结：

• 作者在研究中使用 Charles Proxy 记录流量，发现应用发送请求的频率很高，且包含多种信息。
• 详细展示了 Unity Ads 请求中的各种字段，如国家代码、域名、IP 地址等。
• 解释了 ifv 和 IDFA 的区别和作用，以及它们在应用跟踪中的重要性。
• 说明了 Moloco Ads 的运作模式，即聚合数据并将广告与空闲屏幕空间匹配。
• 介绍了 Datarade 上的 Redmob 数据集及其价格和特点。
• 提供了购买 MAID <> PII 数据的示例和相关表格。
• 展示了追踪自己位置的具体步骤和创建的流程图。