Как рекламные SDK сливают всю твою жизнь. Давно хотел собрать этот параноидальный пост 🏥
На скрине обыденность 2026 года, там мы видим интерфейс kepler.gl (мощной опенсорсной тулзы от Uber для гео-анализа). А оранжевые точки, густо засирающие карту Дефолт-сити - это люди. Точнее, логи смартфонов.
Обратите внимание на всплывающую плашку на скрине. Это чистейший дамп от брокеров данных:
🟢 utc_timestamp - точное время вплоть до миллисекунд.
🟢 id_type: aaid - Android Advertising ID. Твой уникальный рекламный идентификатор, который Гугл так заботливо присваивает каждому устройству.
🟢 horizontal_accuracy: 11 - точность до 11 метров.
🟢 ip_address - тут очевидно.
Как эти данные попадают на рынок? Юзверь покупает обычный, нерутованный телефон на стоковом Android или iOS. Ставит бесплатный 😬 фонарик, приложение доставки еды, игры для высокого интеллекта или виджет погоды.
Что характерно, разрабам этих приложух даже не нужно уметь стягивать данные. Они просто вшивают в код сторонние проприетарные модули... типа рекламные SDK (от Яндекса, Гугла, ФБ, Unity и тысяч ноунейм-контор). Эти SDK работают в фоне, запрашивают доступ к геопозиции (ты же сам нажал Разрешить 💩) и нон-стопом шлют координаты на свои сервера, привязывая их к тебе.
Брокеры данных скупают эти логи, склеивают их в датасеты и перепродают кому угодно... маркетологам, аналитикам, а на даркнете - хацкерам и не только. По этим точкам вычисляется, где ты спишь (кластер точек с 23:00 до 07:00), где работаешь и к кому ездишь по пятницам 😗
Если ты ходишь со стоковым, нерутованным девайсом, забитым проприетарным мусором, то фактически ты добровольный участник шоу Трумана.
Про Пуш-уведомления ⌨️... они в Android (и iOS тоже) не работают так, что приложение само сидит и слушает сеть. Вся архитектура завязана на Firebase Cloud Messaging - гугловский прокси. Когда телефон держит один-единственный, вечно открытый TCP-сокет до серверов Гугла. И через него корпорация знает твой реальный IP-адрес 24/7.
Но самый сок - это тихие или data-уведомления. Разраб (доставки пиццы, игра, погода) хочет узнать твои координаты, но приложение висит в фоне или выгружено из памяти. Сервер разраба шлет специальный невидимый пуш в Гугл. Гугл прокидывает его на твой девайс. Система ВНЕЗАПНО будит приложение в фоне, давая ему пару секунд процессорного времени. Приложение дергает GPS-координаты, отправляет пакет данных на трекер-сервер и снова засыпает. На экране смартфона при этом не появляется ВООБЩЕ НИЧЕГО.
Личное спасение не запрещено:
🔴 Перекат на AOSP-прошивки (GrapheneOS, LineageOS) без GApps. Взамен ставится MicroG - опенсорсный аналог сервисов Гугла. Он умеет принимать пуши, но ты можешь жестко отрезать модулям доступ к геолокации и на лету подменять идентификаторы.
🔴 Рут-права это база. Без рута ты не хозяин своего железа. Только с ним можно поставить нормальный фаервол на базе iptables и жестко отрезать лишние доступы.
🔴 Если рут получить нельзя, то частично могут спасти например NetGuard, TrackerControl, etc. Они поднимают локальный loopback-VPN на самом телефоне и режут коннекты к трекерам и аналитике на уровне доменов.
🔴 Если нужны Банки, Яндекс.Еда или Самокаты, то разумно юзать Shelter или Insular. Эти опенсорсные утилиты юзают встроенный в Android рабочий профиль. Ты ставишь весь проприетарный мусор туда, а когда еда приехала, то просто нажимаешь одну кнопку (или автозаморозка), и весь рабочий профиль замораживается. Приложения физически не могут работать в фоне и тянуть GPS.
🔴 DNS-контроль и никаких гугловских 8.8.8.8. Только NextDNS, AdGuard DNS или собственный Pi-hole завернутый через тоннель до дома. В них должны быть включены жесткие личные блеклисты против телеметрии и трекеров.
🔴 Базовый гигиенический минимум для домохозяек - сброс AAID.
🔴 Для хардкорщиков есть модули типа AppOps или XPrivacyLua. Они скармливают приложениям фейковые GPS-координаты и пустые MAC-адреса. Пусть брокеры анализируют твое перемещение по дну Марианской впадины 😂
Если тебе лень всё это настраивать - улыбайся, ты прямо сейчас светишься оранжевой точкой на чьем-то дашборде 😬
Типичный 🥸 Сисадмин
