Apple App Store上最受欢迎的天气应用程序之一,包含数百万次下载,AccuWeather,被发现无需用户的明确许可即可访问用户的位置数据,并将其发送给第三方数据货币化公司。
正如安全研究员Will Strafach所指出的,AccuWeather要求用户允许应用程序访问设备的位置,即使未使用该应用程序以便更快地获得更新并缩短应用程序启动时间。
但是如果用户授予此位置权限,Strafach会发现该应用程序开始向“revealmobile(.com)”发送一些信息。
该信息包括GPS坐标,当前速度和高度; 当前连接到设备的WiFi路由器的名称和BSSID以及设备是否已打开或关闭蓝牙。
Strafach截获了他的iPhone数据,发现在36小时内,AccuWeather应用程序 - 在后台运行 - 每隔几个小时就会将上述信息发送到RevealMobile,总共传输数据的16倍。
根据RevealMobile的网站,他们“将移动位置信号转换为高价值观众”。 这有助于与RevealMobile相关联的公司在有或没有广告的情况下产生更多收入。
“位置数据还可以告知客户的家庭和工作地点。 将这些信息与现有的人口统计定位标准配对,零售商可以根据其最相关的两个地点,以高度访问的目标为目标消费者,“RevealMobile的网站上写着。
这意味着AccuWeather应用程序正在积极地将您的位置数据传输到网站,而网站又通过将数据提供给零售商和广告商等感兴趣的各方来货币化数据。
该网站补充说:“我们会听取纬度/长数据,当设备'碰到'进入蓝牙信标时”。
此外,AccuWeather不是一个独立的案例。 RevealMobile的网站还声称在美国各地的数百个移动应用程序上运行他们的服务。
另请阅读 :以下是如何阻止优步跟踪您的位置另一个与RevealMobile展示类似数据传输模式的天气应用程序是:来自KPRC 2的Frank's Forecast Weather App。
AccuWeather应用程序或RevealMobile可能没有恶意,但他们获取用户信息的方式 - 未经他们的明确同意和知识 - 似乎是不正确的。
根据ZDNet的报告,AccuWeather和RevealMobile都将根据这一启示更新他们的应用和服务。
更新 :“如果用户选择不在AccuWeather上进行位置跟踪,则在没有用户的进一步选择许可的情况下,不会收集或通过GPS坐标,”AccuWeather和RevealMobile告诉。
在向发表的联合声明中,两家公司透露,Reveal SDK短时间内可以获得“非用户信息”的Wi-Fi网络信息,但AccuWeather并未发现任何此类数据,也没有使用过该数据。任何目的。
“我们认识到这是一个快速发展的领域,有朝一日的最佳实践可能会改变下一个领域。 为了避免任何进一步的误解,Reveal正在更新其SDK并在接下来的24小时内推出新版本的SDK,iOS更新将在今晚上线。“
更新后,一旦用户选择退出位置共享,将不会向RevealMobile传输任何数据。 AccuWeather声称已禁用SDK,直到更新为止。
“SDK可能会被误解,并且他们保证,他们收集的任何信息都不会对位置进行逆向工程,也不是意图,”Reveal表示。
SDK将在更新后进行更新,公司还将编辑其最终用户许可协议,以提高用户的透明度。
更新2(8月24日) :AccuWeather已更新其iOS应用程序,并已完全删除了RevealMobile。
“AccuWeather的应用程序使用了来自第三方供应商(Reveal Mobile)的软件开发工具包(SDK),无意中允许将Wi-Fi路由器数据传输给该第三方供应商。 AccuWeather告诉,AccuWeather不会访问或使用这些数据,我们已收到供应商的保证,他们也是如此。