0
(Bild: medföljer)
Populära väder app AccuWeather har fångats skicka geolocation data till en tredje part data vinstgivande företag, även när användaren har stängt av platsdelning.
AccuWeather är en av de mest populära väder-appar i Apples app store, med en nära perfekt fyrstjärnigt och miljontals nedladdningar till sitt namn. Men vad appen inte säger är att det skickar känsliga uppgifter till ett företag som avser att tjäna pengar på användarens plats utan användarens uttryckliga tillstånd.
Säkerhet forskare Kommer Strafach avlyssnade trafiken från en iPhone med den senaste versionen av AccuWeather och dess servrar och fann att även om appen inte har behörighet att komma åt enheten är exakt läge app skulle skicka Wi-Fi-router namn och dess unika MAC-adress till servrar av data monetarisering fast Avslöja Mobil var några timmar. Att data kan vara korrelerad med den allmänna data för att avslöja ett ungefärligt läge för en användares enhet.
Vi oberoende verifierat resultaten och de hade möjlighet att geotagga en AccuWeather-kör iPhone i vårt New York-kontor inom bara ett par meter, med inget mer än det Wi-Fi-routers MAC-adress och offentliga data.
(Bild mashup: ZDNet; Mylnikov-GEO)
När läget är aktiverat, skickas ner-till-den-mätaren exakta koordinaterna för användaren, inklusive hastighet och höjd, tillbaka till de uppgifter som företaget.
Det är där Avslöja Mobil kommer in. De uppgifter som företaget inte är en annonsör per se, men hjälper till att ge data för annonsörer. Avslöja säger att det “vänder läge data som kommer ut av dessa appar i meningsfulla publik data,” och “vi lyssnar till [latitud och longitud] data och när en enhet “gupp” i en Bluetooth-beacon”, enligt en broschyr på sin webbplats.
För sin del, att Avslöja Mobil befattningshavare sade på ett samtal i förra veckan med ZDNet att även om företaget samlar in Wi-Fi-data-och MAC-adress, för att det “inte använder det” för lokaliseringsuppgifter.
“Allt är anonymiserade, säger Brian Handley, bolagets verkställande direktör. “Vi är inte någonsin kommer att spåra en enskild enhet,” men beskrivs en situation där hans företag kan peka reklam till kunder inne i en Starbucks plats, till exempel.
Enligt en AccuWeather executive, Avslöja Mobil teknik “har inte varit i vår ansökan tillräckligt länge för att vara användbar ändå.”
“I framtiden, AccuWeather planer på att använda data genom att Avslöja Mobil för publiken segmentering och analys, för att bygga en större publik förståelse och skapa mer relevanta och användbara erfarenheter för användare och annonsörer, säger David Mitchell, AccuWeather är executive vice president för nya plattformar på samtalet.
Men medan AccuWeather privatliv, säger att företaget och dess partners kan använda geolocation tracking-teknik, dess sekretesspolicy inte uttryckligen anges att dessa uppgifter kommer att användas för reklam, Strafach berättade ZDNet.
“I huvudsak ser jag ett par problem,” sade han. “AccuWeather få GPS-fi i en helt oskyldiga förutsättningen — ingen användare förväntar sig lokaliseringsuppgifter för att användas på detta sätt,” sade han.
Flera personer har twittrat på Strafach under de senaste dagarna att säga att de har tagit bort appen, som bygger på hans resultat.
“När GPS-access är inte tillåtet att appen skickar [Wi-Fi-nätverk namn] och eventuellt använder Bluetooth-beacon-teknik. Detta är särskilt problematiskt eftersom deras hemsida tydligt anges att användning av Wi-Fi-information är för geolocation, och det verkar lite över linjen för situationer där användaren ganska tydligt inte vill dela sin plats,” sade han.
I ett blogginlägg beskriver sina resultat, Strafach sade att liknande opt-out geolocation spåra beteenden har tidigare uppmärksammats av verkställighet arm av Federal Trade Commission.
Ett 2016 fall såg FTC väcka talan mot en felande app efter det “lurade konsumenter genom att presentera dem en möjlighet att inte dela med sig av sin information, även om det var delade automatiskt rendering alternativet meningslöst.”
En talesman för AccuWeather förnekade att fallen var likartade. “Vårt juridiska team inte tro dessa fall är den punkt i förhållande till våra rutiner, säger talespersonen.
“Detta är ett snabbt framväxande rättsliga området och vad som är bästa praxis att en dag kan förändras nästa, och… vi tar integritetsfrågor på allvar,” talesman sade. “Vi arbetar med att våra [användaravtal och avtal] så aktuell som lagen är föränderliga och ofta bortom det som kan vara juridiskt skyldiga att skydda våra användares privatliv.”
Avslöja Mobile har sedan dess publicerat ett uttalande konstaterar att det följer “alla app store riktlinjer för att hedra alla enhetens nivå och app nivå opt-outs och behörigheter.”
Kontakta mig ordentligt
Zack Whittaker kan nås säkert på Signal och WhatsApp på 646-755-8849, och hans PGP fingeravtryck för e-post är: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
Läs Mer
ZDNET UTREDNINGAR
Läckt TSA dokument avslöjar flygplatsen i New York våg av säkerhet upphör
AMERIKANSKA regeringen drivit tech företag att lämna över källkoden
Vid den AMERIKANSKA gränsen: Diskriminerade, fängslade, sökte, förhördes
Miljontals Verizon kundregister exponeras i säkerhet förfaller
Möta den mörka tech mäklare att leverera dina data till NSA
Inne i den globala terror bevakningslista som i hemlighet skuggor miljoner
FCC: s ordförande röstade för att sälja din webbhistorik — så vi bad att få se hans
Med en enda avlyssna ordning, AMERIKANSKA myndigheterna lyssnade på 3,3 miljoner telefonsamtal
198 miljoner Amerikaner drabbas av “största någonsin” väljare poster läcka
Storbritannien har gått den “mest extrema övervakning lag någonsin gått i en demokrati”
Microsoft säger “inga kända ransomware” som körs på Windows-10 S — så vi försökte hacka den
Läckt dokument avslöjar BRITTISKA planer för en bredare övervakning av internet
0