禁用位置共享也無效,iOS版天氣應用AccuWeather仍可發送用戶位置數據
近日,外媒報道稱,熱門天氣應用程序AccuWeather已經將用戶地理位置數據發送給了第三方數據營收公司,即便是用戶已經關閉位置共享服務也無濟於事。
AccuWeather是蘋果應用商店中最受歡迎的天氣應用之一,具有接近完美的四星評級和數百萬的下載量。但該應用程序沒有說的是,它會在未經用戶明確許可的情況下將敏感數據發送給從用戶位置數據中獲利的第三方公司。
近日,安全研究人員Will Strafach在攔截了運行最新版本的AccuWeather及其伺服器的iPhone的流量後發現,即使在系統關閉定位分享許可權時,AccuWeather應用仍會向其合作的三方數據監控商Reveal Mobile發送用戶的無線路由名稱及其MAC地址。這些數據可以與公共數據相連,顯示出用戶設備的大致位置。
Zdnet工作人員之後單獨驗證了這一發現,發現只使用Wi-Fi路由器的MAC地址和公共數據就能夠成功定位位於其紐約辦公司幾米之內一個運行AccuWeather應用的iPhone位置數據。
一旦用戶開啟定位服務,AccuWeather應用就會向Reveal數據公司發送用戶的精確坐標(包括速度和高度信息等等)。
據悉,Reveal本身並不是廣告客戶,而是一家向各出版商、開發者或媒體提供用戶數據信息服務的公司。Reveal通過三種途徑監測用戶數據:包括內置app、gps,或者是通過藍牙beacon。根據其官網介紹稱,該公司會將這些從應用程序中獲取的位置數據轉化成有意義的受眾數據,通過藍牙beacon,該公司就能夠監測出用戶設備的「經緯度」數據。
Reveal Mobile發言人在接受採訪時透露,雖然公司確實收集了用戶的Wi-Fi數據和MAC地址信息,但它並沒有將其用於位置數據。
該公司首席執行官Brian Handley表示,所有數據採集都是匿名的、用戶細分的,我們從沒有也不會跟蹤個人設備。但是作為一個例子,他描述了該公司可以把廣告投放給位於星巴克範圍內的客戶。
據AccuWeather公司一名發言人介紹,AccuWeather含有Reveal Mobile的監控SDK,但是該技術在AccuWeather應用中的時間還不夠長,不足以發揮此次效用。
AccuWeather新興平台執行副總裁David Mitchell表示,
未來,我們計劃通過Reveal Mobile進行用戶數據分析和細分工作,以便增強對用戶的了解力度,為用戶和廣告客戶創造出更具相關性和有用的體驗。
研究人員Strafach表示,雖然AccuWeather在其隱私聲明中表示,該公司及其合作夥伴可能會使用地理位置跟蹤技術,但其隱私政策並未明確指出這些數據會被用於廣告目的。他說,
我發現了一些本質上的問題,AccuWeather看似是在完全無辜的前提下獲取了用戶的GPS信息——但是畢竟沒有用戶會希望這些位置數據用於廣告目的。
最近已經有很多人@Strafach說已經根據他的發現,刪除了這一應用程序。他說,
當用戶關閉GPS服務後,該應用程序會發送用戶的『WIFI網路名稱』,而且可能會使用藍牙beacon技術。這一點就存在疑點,因為他們的網站明確指出,使用Wi-Fi信息是用於地理定位,但是現在看起來,他們已經明顯的踩過線了,畢竟沒有人希望分享自己的位置數據,而且還是用於廣告目的。
在一篇分享其發現細節的博客中,Strafach表示,過去類似的opt-out(在未經用戶允許下單方面進行的行為)地理位置跟蹤行為已經引起了聯邦貿易委員會(FTC)執法部門的關注。在2016年的案例中,一個違規應用程序在為用戶提供「是否選擇分享個人信息」後選擇無視用戶選擇,自動分享了用戶的信息,結果遭到了FTC的制裁。
對此,AccuWeather的發言人否認此次案件與2016年的相似,他說,
我們的法律團隊認為,這些案件與我們的情況沒有相關性。我們對待隱私問題一直十分認真,並努力將『服務條款和協議』視為法律一樣尊重、遵循。
Reveal Mobile數據公司也已經發表了一份聲明,指出其一直遵循「所有應用商店指南、尊重所有設備級別以及應用程序的opt-outs和許可機制。」
當天晚些時候,AccuWeather和Reveal Mobile發表聯合聲明稱,公司隨後會對其應用程序和服務進行更新處理。一名AccuWeather發言人表示:
Reveal正在更新其SDK並在接下來的24小時內推出其新版本的『軟體套件』,iOS更新程序也將在『周二補丁日』發布。修復後的最終結果應該是——用戶禁用位置分享服務後,就不會再有數據傳送給Reveal。同時,AccuWeather已經禁用了當前的『軟體套件』,等待更新程序。
·
本文翻譯自:http://www.zdnet.com/article/accuweather-caught-sending-geo-location-data-even-when-denied-access/,如若轉載,請註明來源於嘶吼: http://www.4hou.com/info/news/7378.html 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※「Trackmageddon」漏洞影響100+個GPS和定位跟蹤服務
※為什麼windows的受限賬戶這樣的功能在中國根本沒多少人使用甚至不知道?
※公有雲安全修鍊之路,郭靖和周伯通帶你走
※如何通過ARP通信繞過殺毒軟體並種植木馬?