אפליקציית Accuweather ב- iOS עוקבת אחר מיקום המשתמש גם כאשר היא כבויה

אחת מאפליקציות מזג האוויר הפופולריות ביותר בחנות האפליקציות של אפל עם מיליוני הורדות, AccuWeather, התבררה כגישה לנתוני המיקום של המשתמש ללא אישור מפורש של המשתמש והיא שולחת אותם לחברת מונטיזציה של נתונים של צד שלישי.

כפי שצוין על ידי חוקר האבטחה וויל סטראפך, AccuWeather מבקש מהמשתמש לאפשר לאפליקציה לגשת למיקום המכשיר גם כאשר לא נעשה שימוש באפליקציה על מנת לקבל עדכונים מהירים יותר ולצמצם את זמן השקת האפליקציה.

אך אם משתמש מעניק הרשאה למיקום זה, סטראפצ 'גילה שהאפליקציה מתחילה לשלוח כמה פיסות ופרטי מידע ל-' revealmobile (.com) '.

מידע זה כולל קואורדינטות GPS, מהירות נוכחית וגובה; שם ו- BSSID של נתב ה- WiFi המחובר כעת למכשיר והאם המכשיר כבה או כבה של המכשיר.

קרא גם: נמאס לאתרי אינטרנט להתגנב למיקומך? להלן איך לעצור אותם

סטראפך יירט את נתוני האייפון שלו והתברר כי במהלך 36 שעות, אפליקציית AccuWeather - הפועלת ברקע - שלחה את המידע האמור ל- RevealMobile כל כמה שעות, והיוותה סך הכל 16 פעמים מהנתונים שהועברו.

על פי אתר RevealMobile, הם "ממירים אותות מיקום ניידים לקהלים בעלי ערך גבוה". זה עוזר לחברות הקשורות ל- RevealMobile לייצר הכנסות רבות יותר עם או בלי מודעות.

"נתוני מיקום מראים גם את מיקום הבית והעבודה של הלקוחות. התאמה של מידע זה עם קריטריוני מיקוד דמוגרפיים קיימים מאפשרת לקמעונאים למקד לצרכנים עם נטייה גבוהה לביקור על סמך שניים מהמיקומים הרלוונטיים ביותר שלהם, "נכתב באתר RevealMobile.

המשמעות היא שאפליקציית AccuWeather העבירה באופן פעיל את נתוני המיקום שלך לאתר, מה שבתורו רווח רווח מהנתונים בכך שסיפק אותם לגורמים מעוניינים כמו קמעונאים ומפרסמים.

"אנו מקשיבים לנתונים ארוכים / ארוכים וכאשר מכשיר 'נתקל' במגדלור Bluetooth", מוסיף האתר.

כמו כן, AccuWeather אינו מקרה עצמאי. האתר של RevealMobile טוען גם כי הוא מפעיל את שירותם במאות אפליקציות סלולריות ברחבי ארצות הברית.

קרא גם: להלן הדרך להפסיק את Uber מעקב אחר מיקומך

אפליקציית מזג אוויר אחת נוספת שהציגה דפוסים דומים של העברת נתונים ל- RevealMobile היא: אפליקציית מזג האוויר החזיתית של פרנק מ- KPRC 2.

לאפליקציית AccuWeather או RevealMobile אולי אין כוונות זדוניות, אך נראה כי האופן בו הם רוכשים מידע על משתמשים - ללא הסכמתם המפורשת והידע שלהם - אינם נכונים.

על פי דוח ZDNet, הן AccuWeather והן RevealMobile יתעדכנו את האפליקציות והשירותים שלהן בעקבות התגלות זו.

עדכון: "אם משתמש בוחר מחוץ למעקב אחר מיקום ב- AccuWeather, שום קואורדינטות GPS לא נאספות או מועברות ללא אישור הצטרפות נוסף מהמשתמש", אמרו AccuWeather ו- RevealMobile ל-.

בהצהרה המשותפת ל-, החברות חשפו כי מידע רשת Wi-Fi "שאינו מידע על משתמשים" היה זמין ב- SDK של Reveal במשך תקופה קצרה, אולם AccuWeather לא הייתה מודעת לנתונים כאלה ובשום שלב לא השתמשה בנתונים אלה עבור מטרה כלשהי.

"אנו מכירים שזה תחום שמתפתח במהירות ומה שהנוהג הטוב ביותר יום אחד עשוי לשנות את היום הבא. כדי למנוע כל פרשנות שגויה נוספת, Reveal מעדכן את ה- SDK שלה ודוחף גרסאות חדשות של ה- SDK ביממה הקרובה, כאשר עדכון iOS יופיע הלילה."

לאחר העדכון, לא יועברו נתונים ל- RevealMobile ברגע שמשתמש יבחר מחוץ לשיתוף מיקום. AccuWeather טוען שהשבית את ה- SDK עד שהוא מעודכן.

Reveal הצהירה כי "SDK עלולה להתפרש באופן שגוי, והם מבטיחים כי שום הנדסה הפוכה של מיקומים לא נערכה מעולם על ידי מידע שהם אספו, ואף לא הייתה זו הכוונה."

ה- SDK יעודכן לאחר שיעודכן והחברות יערכו גם את הסכם הרישיון למשתמש קצה כדי להגדיל את השקיפות למשתמשים.

עדכון 2 (24 באוגוסט): AccuWeather עדכנה את האפליקציה שלה ל- iOS והסירה את RevealMobile לחלוטין.

"האפליקציה של AccuWeather העסיקה ערכת פיתוח תוכנה (SDK) של ספק צד שלישי (Reveal Mobile) שאיפשרה בשוגג להעביר נתבי Wi-Fi אל ספק צד שלישי זה. AccuWeather לא ניגש או השתמש בנתונים אלה בשום זמן, וקיבלנו הבטחות מהספק כי הדבר נכון גם עבורם, "אמרה AccuWeather ל-.