Հետազոտող tim.sh-ը պարզել է, որ բջջային հավելվածները, նույնիսկ տեղորոշման ծառայություններն անջատած ժամանակ, հավաքում և փոխանցում են օգտատերերի գտնվելու վայրի մասին տվյալներ։ Դա տեղի է ունենում հավելվածներում ներկառուցված գովազդային SDK-ների միջոցով։ Հավաքվում են ոչ միայն աշխարհագրական լայնությունը և երկայնությունը, այլև IP հասցեն, ժամանակային դրոշմները և այլ տվյալներ, որոնք թույլ են տալիս հետևել օգտատիրոջ տեղաշարժին։
Այս տվյալները փոխանցվում են երրորդ կողմերին՝ գովազդային աճուրդների միջոցով։ Օգտագործվում է OpenRTB արձանագրությունը, որի միջոցով փոխանակվում են մեծ քանակությամբ տվյալներ, այդ թվում՝ սարքի մասին տեղեկություններ։ Հետազոտողը հետևել է տվյալների շղթային՝ պարզ խաղից մինչև գովազդ, և պարզել, որ տվյալները փոխանցվում են տարբեր ընկերությունների միջոցով։
IDFA (Identifier for Advertisers) անջատելը չի խոչընդոտում տվյալների փոխանցմանը։ IP հասցեն, գտնվելու վայրը և այլ տվյալներ, միևնույն է, փոխանցվում են երրորդ կողմերին։ Ավելին, կան բազմաթիվ այլ նույնականացնողներ, որոնք կարող են օգտագործվել օգտատիրոջը հետևելու համար։
Գոյություն ունեն տվյալների շուկաներ, որտեղ վաճառվում են բջջային տեղորոշման տվյալների մեծ պաշարներ։ Տվյալների բրոքերները համախմբում են տվյալները տարբեր աղբյուրներից և վաճառում դրանք։
Վաճառվում են նաև տվյալների հավաքածուներ, որոնք կապում են բջջային գովազդային ID-ները (MAID) անձնական տվյալների հետ։ Այս կապը թույլ է տալիս վերականգնել անանուն տվյալների անձնականացումը։
Օգտատերերը տեղյակ չեն այս գործընթացներին։ Նրանց մեծ մասը չգիտի, որ նույնիսկ անվճար հավելվածները հավաքում են իրենց տվյալները։
Facebook-ը նույնպես հավաքում է IP հասցեներ և ժամանակային դրոշմներ՝ առանց օգտատիրոջ համաձայնության։
Եզրափակելով՝ հետազոտությունը ցույց է տալիս, որ բջջային հավելվածների գովազդային էկոհամակարգը թույլ է տալիս հավաքել մեծ քանակությամբ անձնական տվյալներ և վաճառել դրանք։ Սա լուրջ մտահոգություն է առաջացնում գաղտնիության վերաբերյալ։