Aplikacja Accuweather na ios śledzi lokalizację użytkownika nawet po wyłączeniu

Okazało się, że jedna z najpopularniejszych aplikacji pogodowych w sklepie Apple App Store z milionami pobrań, AccuWeather, uzyskuje dostęp do danych o lokalizacji użytkownika bez wyraźnej zgody użytkownika i wysyła je do firmy generującej dane innej firmy.

Jak zauważył badacz bezpieczeństwa Will Strafach, AccuWeather prosi użytkownika o zezwolenie aplikacji na dostęp do lokalizacji urządzenia nawet wtedy, gdy aplikacja nie jest używana w celu uzyskania szybszych aktualizacji i skrócenia czasu uruchamiania aplikacji.

Ale jeśli użytkownik przyzna pozwolenie na lokalizację, Strafach dowiedział się, że aplikacja zaczyna wysyłać kilka bitów i informacji do „revealmobile (.com)”.

Informacje te obejmują współrzędne GPS, aktualną prędkość i wysokość; nazwa i BSSID routera WiFi aktualnie podłączonego do urządzenia i czy urządzenie ma włączoną lub wyłączoną funkcję Bluetooth.

Przeczytaj także: Zmęczony stron internetowych w poszukiwaniu lokalizacji? Oto jak je zatrzymać

Strafach przechwycił dane swojego iPhone'a i dowiedział się, że w ciągu 36 godzin aplikacja AccuWeather - działająca w tle - wysyłała wspomniane informacje do RevealMobile co kilka godzin, co stanowiło łącznie 16 razy więcej danych.

Według strony internetowej RevealMobile „konwertują sygnały lokalizacji mobilnej na odbiorców o wysokiej wartości”. Pomaga to firmom związanym z RevealMobile generować większe przychody z reklamami lub bez nich.

„Dane dotyczące lokalizacji informują również o lokalizacji domu i pracy klientów. Powiązanie tych informacji z istniejącymi kryteriami targetowania demograficznego umożliwia detalistom dotarcie do konsumentów o dużej skłonności do odwiedzania w oparciu o dwie najbardziej odpowiednie lokalizacje ”- czytamy na stronie RevealMobile.

Oznacza to, że aplikacja AccuWeather aktywnie przekazywała dane dotyczące lokalizacji do strony internetowej, która z kolei zarabiała na danych, dostarczając je zainteresowanym stronom, takim jak detaliści i reklamodawcy.

„Wsłuchujemy się w długie / długie dane i gdy urządzenie„ wpada ”na sygnał Bluetooth”, dodaje strona internetowa.

Ponadto AccuWeather nie jest samodzielnym przypadkiem. Strona internetowa RevealMobile twierdzi również, że obsługuje ich setki aplikacji mobilnych w Stanach Zjednoczonych.

Przeczytaj także: Oto, jak zatrzymać Ubera od śledzenia Twojej lokalizacji

Inna aplikacja pogodowa, która wykazywała podobne wzorce transmisji danych do RevealMobile, to: Aplikacja prognozy pogody Franka z KPRC 2.

Aplikacja AccuWeather lub RevealMobile może nie mieć złośliwych zamiarów, ale sposób, w jaki pozyskują informacje o użytkowniku - bez ich wyraźnej zgody i wiedzy - wydaje się niepoprawny.

Według raportu ZDNet, zarówno AccuWeather, jak i RevealMobile będą aktualizować swoje aplikacje i usługi po tej rewelacji.

Aktualizacja: „Jeśli użytkownik zrezygnuje ze śledzenia lokalizacji w AccuWeather, żadne współrzędne GPS nie zostaną zebrane ani przekazane bez zgody użytkownika”, AccuWeather i RevealMobile poinformowali.

We wspólnym oświadczeniu dla firmy ujawniły, że informacje o sieci Wi-Fi „to nie są informacje o użytkowniku” były dostępne w Reveal SDK przez krótki okres, ale AccuWeather nie wiedział o takich danych iw żadnym momencie nie wykorzystywał tych danych do dowolny cel.

„Zdajemy sobie sprawę, że jest to szybko rozwijająca się dziedzina, a to, co jest najlepszą praktyką pewnego dnia, może zmienić następne. Aby uniknąć dalszych błędnych interpretacji, Reveal aktualizuje swój zestaw SDK i wypycha nowe wersje pakietu SDK w ciągu najbliższych 24 godzin, a aktualizacja iOS będzie dostępna dziś wieczorem. ”

Po aktualizacji żadne dane nie zostaną przesłane do RevealMobile, gdy użytkownik zrezygnuje z udostępniania lokalizacji. AccuWeather twierdzi, że wyłączył SDK, dopóki nie zostanie zaktualizowany.

„Pakiet SDK może zostać błędnie zinterpretowany i zapewnia, że ​​żadna z zebranych informacji nie zawierała żadnej inżynierii odwrotnej lokalizacji, ani nie była to intencja”, stwierdza Reveal.

Zestaw SDK zostanie zaktualizowany po jego aktualizacji, a firmy będą również edytować umowę licencyjną użytkownika końcowego, aby zwiększyć przejrzystość dla użytkowników.

Aktualizacja 2 (24 sierpnia): AccuWeather zaktualizował swoją aplikację na iOS i całkowicie usunął RevealMobile.

„Aplikacja AccuWeather zastosowała zestaw SDK od dostawcy zewnętrznego (Reveal Mobile), który niechcący pozwolił na przekazanie danych routera Wi-Fi do tego niezależnego dostawcy. Dane te nigdy nie były dostępne ani używane przez AccuWeather i otrzymaliśmy zapewnienia od dostawcy, że to samo dotyczy ich ”, powiedział AccuWeather w.