AccuWeather-appen på iOS sporer brukerplassering selv når den er slått av

En av de mest populære værappene på Apple App Store med millioner av nedlastinger, AccuWeather, har vist seg å ha tilgang til brukerens posisjonsdata uten brukerens eksplisitte tillatelse, og sender dem til et tredjeparts datainntektsforetak.




Som påpekt av sikkerhetsforsker Will Strafach, AccuWeather ber brukeren om å la applikasjonen få tilgang til enhetens plassering selv når appen ikke brukes for å få oppdateringer raskere og redusere appstarttiden.



Men hvis en bruker gir denne stedstillatelsen, fant Strafach ut at applikasjonen begynner å sende noen biter og informasjoner til ‘revealmobile (.com)’.

Denne informasjonen inkluderer GPS-koordinater, gjeldende hastighet og høyde; navn og BSSID for WiFi-ruteren som for øyeblikket er koblet til enheten, og om enheten har Bluetooth slått av eller på.

Les også: Er du lei av at nettsteder snupper seg inn i din beliggenhet? Her er hvordan du stopper dem

Strafach fanget opp dataene fra sin iPhone og fant ut at AccuWeather-appen - som kjører i bakgrunnen - i løpet av 36 timer sendte den nevnte informasjonen til RevealMobile med noen få timer, og sto for 16 ganger dataene ble overført.

I følge RevealMobile's nettsted, de 'konverterer mobile posisjonssignaler til høyverdige målgrupper'. Dette hjelper selskapene tilknyttet RevealMobile til å generere mer inntekter med eller uten annonser.

Kilde: Will Strafach | medium

“Stedsdata informerer også kundenes hjem og arbeidssted. Sammenkobling av denne informasjonen med eksisterende demografiske målrettingskriterier gjør at forhandlere kan målrette forbrukere med en høy tilbøyelighet til å besøke basert på to av de mest relevante stedene sine, ”heter det på nettstedet RevealMobile.

Dette betyr at AccuWeather-appen aktivt overførte posisjonsdataene dine til nettstedet, som igjen tjente penger på dataene ved å gi dem til interesserte parter som forhandlere og annonsører.

'Vi lytter etter lat / lange data, og når en enhet' støter 'i et Bluetooth-fyrtårn, legger nettstedet til.

AccuWeather er heller ikke en frittstående sak. Nettstedet til RevealMobile hevder også å ha tjenesten sin på hundrevis av mobilapplikasjoner over hele USA.

Les også: Slik kan du stoppe Uber fra å spore plasseringen din

En annen vær-app som viste lignende mønstre med dataoverføring til RevealMobile er: Franks værvarsel-app fra KPRC 2.

AccuWeather-appen eller RevealMobile har kanskje ikke ondsinnede intensjoner, men måten de skaffer brukerinformasjon - uten deres eksplisitte samtykke og kunnskap - ser ut til å være feil.

I følge a ZDNet-rapport, både AccuWeather og RevealMobile, vil oppdatere appene og tjenestene sine etter denne avsløringen.

Oppdater: 'Hvis en bruker velger ikke lokasjonssporing på AccuWeather, blir ingen GPS-koordinater samlet inn eller gitt videre uten ytterligere tillatelse fra brukeren,' sa AccuWeather og RevealMobile til Guiding Tech.

I den felles uttalelsen til Guiding Tech avslørte selskapene at Wi-Fi-nettverksinformasjon “som ikke er brukerinformasjon” var tilgjengelig på Reveal SDK i en kort periode, men AccuWeather var ikke klar over slike data og brukte ikke på noe tidspunkt disse dataene til ethvert formål.

”Vi er klar over at dette er et raskt utviklende felt, og hva som er den beste praksis en dag kan endre den neste. For å unngå ytterligere feiltolkning, oppdaterer Reveal SDK-en og skyver ut nye versjoner av SDK-en i løpet av det neste døgnet, med iOS-oppdateringen som går i kveld. '

Etter oppdateringen vil ingen data bli overført til RevealMobile når en bruker velger å dele ut lokasjon. AccuWeather hevder å ha deaktivert SDK-en til den er oppdatert.

'SDK kan bli misforstått, og de forsikrer at ingen omvendt prosjektering av lokasjoner noensinne ble utført av noen informasjon de samlet inn, og heller ikke av dette,' uttalte Reveal.

SDK vil bli oppdatert etter at den er oppdatert, og selskapene vil også redigere lisensavtalen for sluttbrukere for å øke gjennomsiktigheten for brukerne.

Oppdatering 2 (24. august): AccuWeather har oppdatert appen sin for iOS og har fjernet RevealMobile fullstendig.

AccuWeather-appen benyttet seg av et programvareutviklingssett (SDK) fra en tredjepartsleverandør (Reveal Mobile) som utilsiktet lot Wi-Fi-ruterdata overføres til denne tredjepartsleverandøren. Ikke på noe tidspunkt ble disse dataene tilgang til eller brukt av AccuWeather, og vi har fått forsikringer fra leverandøren om at det samme er tilfelle for dem, ”sa AccuWeather til Guiding Tech.