Android

Accuweather-app på ios sporer brukerens beliggenhet selv når den er slått av

Timeline: When will rain, snow from Zeta hit Tri-State area?

Timeline: When will rain, snow from Zeta hit Tri-State area?
Anonim

En av de mest populære værappene på Apple App Store med millioner av nedlastinger, AccuWeather, har funnet å ha tilgang til brukerens posisjonsdata uten brukerens eksplisitte tillatelse, og sender dem til et tredjeparts dataprogrammeringsdata.

Som påpekt av sikkerhetsforsker Will Strafach, ber AccuWeather brukeren om å la applikasjonen få tilgang til enhetens plassering selv når appen ikke brukes for å få oppdateringer raskere og redusere lanseringen av appen.

Men hvis en bruker gir denne stedstillatelsen, fant Strafach ut at applikasjonen begynner å sende noen biter og deler av informasjonen til 'revealmobile (.com)'.

Denne informasjonen inkluderer GPS-koordinater, gjeldende hastighet og høyde; navn og BSSID for WiFi-ruteren som for øyeblikket er koblet til enheten, og om enheten har Bluetooth slått av eller på.

Les også: Lei av at nettsteder snooper inn på din beliggenhet? Her er hvordan du stopper dem

Strafach fanget opp dataene fra sin iPhone og fant ut at AccuWeather-appen - som kjører i bakgrunnen - i løpet av 36 timer, sendte den nevnte informasjonen til RevealMobile med noen få timer, og sto for 16 ganger dataene ble overført.

Ifølge nettstedet RevealMobile "konverterer de mobile posisjonssignaler til publikum av høy verdi". Dette hjelper selskapene tilknyttet RevealMobile til å generere mer inntekter med eller uten annonser.

“Stedsdata informerer også kundenes hjem og arbeidssted. Sammenkobling av denne informasjonen med eksisterende demografiske målrettingskriterier gjør at forhandlere kan målrette forbrukere med en høy tilbøyelighet til å besøke basert på to av de mest relevante stedene sine, ”heter det på nettstedet RevealMobile.

Dette betyr at AccuWeather-appen aktivt overførte posisjonsdataene dine til nettstedet, som igjen tjente penger på dataene ved å gi dem til interesserte parter som forhandlere og annonsører.

"Vi lytter etter lat / lange data, og når en enhet" støter "i et Bluetooth-fyrtårn, legger nettstedet til.

AccuWeather er heller ikke en frittstående sak. Nettstedet til RevealMobile hevder også å ha tjenesten sin på hundrevis av mobile applikasjoner over hele USA.

Les også: Her er hvordan du stopper Uber fra å spore plasseringen din

En annen vær-app som viste lignende mønstre med dataoverføring til RevealMobile er: Franks værvarsel-app fra KPRC 2.

AccuWeather-appen eller RevealMobile har kanskje ikke ondsinnede intensjoner, men måten de skaffer brukerinformasjon - uten deres eksplisitte samtykke og kunnskap - ser ut til å være feil.

I følge en ZDNet-rapport skal både AccuWeather og RevealMobile oppdatere appene og tjenestene sine etter denne avsløringen.

Oppdatering: "Hvis en bruker velger ikke lokasjonssporing på AccuWeather, blir ingen GPS-koordinater samlet eller bestått uten ytterligere tillatelse fra brukeren, " sa AccuWeather og RevealMobile til.

I den felles uttalelsen til avslørte selskapene at Wi-Fi-nettverksinformasjon “som ikke er brukerinformasjon” var tilgjengelig på Reveal SDK i en kort periode, men AccuWeather var ikke klar over slike data og brukte ikke på noe tidspunkt disse dataene til ethvert formål.

”Vi er klar over at dette er et felt som utvikler seg raskt, og hva som er den beste praksis en dag kan endre den neste. For å unngå ytterligere feiltolkning, oppdaterer Reveal SDK-en og skyver ut nye versjoner av SDK-en i løpet av de neste 24 timene, med iOS-oppdateringen som går i kveld."

Etter oppdateringen vil ingen data bli overført til RevealMobile når en bruker velger å dele ut lokasjon. AccuWeather hevder å ha deaktivert SDK-en til den er oppdatert.

"SDK kan bli misforstått, og de forsikrer at ingen omvendt prosjektering av lokasjoner noensinne ble utført av informasjon de samlet inn, og heller ikke var dette med hensikten, " uttalte Reveal.

SDK vil bli oppdatert etter at den er oppdatert, og selskapene vil også redigere lisensavtalen for sluttbrukere for å øke åpenheten for brukerne.

Oppdatering 2 (24. august): AccuWeather har oppdatert appen sin for iOS og har fjernet RevealMobile fullstendig.

AccuWeather-appen benyttet seg av et programvareutviklingssett (SDK) fra en tredjepartsleverandør (Reveal Mobile) som utilsiktet lot Wi-Fi-ruterdata overføres til denne tredjepartsleverandøren. På ingen tid ble tilgangen til eller brukt av disse dataene av AccuWeather, og vi har fått forsikringer fra leverandøren om at det samme er tilfelle for dem, ”sa AccuWeather til.