AccuWeather je zalotil pošiljanje podatkov o lokaciji uporabnika, tudi ko je deljenje lokacije izklopljeno

  • Oct 15, 2023

Varnostni raziskovalec je odkril, da priljubljena vremenska aplikacija pošilja podatke o zasebni lokaciji brez izrecnega dovoljenja uporabnika podjetju, ki je namenjeno monetizaciji lokacij uporabnikov.

accuweather.jpg

(Slika: priložena)

Priljubljeno vremensko aplikacijo AccuWeather so ujeli pri pošiljanju geolokacijskih podatkov tretjemu podjetju za monetizacijo podatkov, tudi ko je uporabnik izklopil skupno rabo lokacije.

AccuWeather je ena najbolj priljubljenih vremenskih aplikacij v Applovi trgovini z aplikacijami skoraj popolna ocena s štirimi zvezdicami in na milijone prenosov na njegovo ime. Toda aplikacija ne pove, da pošilja občutljive podatke podjetju, ki je zasnovano za monetizacijo uporabniških lokacij brez izrecnega dovoljenja uporabnikov.

Varnostni raziskovalec Will Strafach je prestregel promet z iPhona, na katerem je nameščena najnovejša različica AccuWeather in njegovih strežnikov, ter ugotovil, da tudi, ko aplikacija ni imela dovoljenje za dostop do natančne lokacije naprave bi aplikacija vsakih nekaj poslala ime usmerjevalnika Wi-Fi in njegov edinstven naslov MAC strežnikom podjetja za monetizacijo podatkov Reveal Mobile. ure. Te podatke je mogoče povezati z javnimi podatki, da razkrijejo približno lokacijo uporabnikove naprave.

Neodvisno smo preverili ugotovitve in nam uspelo geolocirati iPhone, ki uporablja AccuWeather v naši pisarni v New Yorku v samo nekaj metrih, pri čemer ne uporabite nič drugega kot naslov MAC in javnih podatkov usmerjevalnika Wi-Fi.

(Mešanica slik: ZDNet; Mylnikov GEO)

Ko je lokacija omogočena, pošlje natančne koordinate uporabnika, vključno s hitrostjo in nadmorsko višino, nazaj v podatkovno podjetje.

Tu nastopi Reveal Mobile. Podatkovno podjetje samo po sebi ni oglaševalec, ampak pomaga pri zagotavljanju podatkov za oglaševalce. Reveal pravi, da "podatke o lokaciji, ki prihajajo iz teh aplikacij, spremeni v pomembne podatke o občinstvu" in "mi posluša podatke o [geografski širini in dolžini] in ko naprava »naleti« na svetilnik Bluetooth,« brošuro na svoji spletni strani.

Vodstveni delavci Reveal Mobile so na pogovoru prejšnji teden z ZDNet povedali, da čeprav podjetje zbira podatke o Wi-Fi in informacije o naslovu MAC, jih "ne uporablja" za podatke o lokaciji.

"Vse je anonimizirano," je dejal Brian Handley, izvršni direktor podjetja. "Nikoli ne sledimo posamezni napravi," je pa opisal situacijo, ko lahko njegovo podjetje na primer usmeri oglaševanje strankam znotraj lokacije Starbucks.

Po besedah ​​enega vodje AccuWeatherja tehnologija Reveal Mobile "ni bila v naši aplikaciji dovolj dolgo, da bi bila še uporabna."

»V prihodnosti AccuWeather načrtuje uporabo podatkov prek Reveal Mobile za segmentacijo in analizo občinstva, da bi pridobil boljše razumevanje občinstva in ustvaril več kontekstualno relevantne in koristne izkušnje za uporabnike in oglaševalce,« je povedal David Mitchell, izvršni podpredsednik za nastajajoče platforme AccuWeather, klic.

Toda medtem ko zasebnost AccuWeather pravi, da lahko podjetje in njegovi partnerji uporabljajo geolokacijsko sledenje tehnologije, njegova politika zasebnosti ne navaja posebej, da bodo ti podatki uporabljeni za oglaševanje, Strafach povedal ZDNet.

"V bistvu vidim nekaj težav," je dejal. "AccuWeather dobi dostop do GPS pod povsem nedolžno predpostavko - noben uporabnik ne pričakuje, da se bodo podatki o lokaciji uporabljali na ta način," je dejal.

Več ljudi je v zadnjih dneh na Strafachu tvitnilo, da so na podlagi njegovih ugotovitev izbrisali aplikacijo.

"Ko dostop do GPS ni dovoljen, aplikacija pošlje [ime omrežja Wi-Fi] in po možnosti uporabi njihovo tehnologijo svetilnika Bluetooth. To se zdi še posebej problematično, saj njihovo spletno mesto jasno navaja, da je uporaba informacij Wi-Fi namenjena geolokaciji in to se zdi malo čez mejo za situacije, ko uporabnik očitno ne želi deliti svoje lokacije," je dejal rekel.

V objava na spletnem dnevniku s podrobnostmi njegovih ugotovitev, Strafach je dejal, da ima podobno vedenje pri geolokacijskem sledenju opt-out v preteklost je padla v oči izvršilne veje Zvezne komisije za trgovino.

V primeru iz leta 2016 je FTC sprožil tožbo proti eni aplikaciji, ki je kršila, potem ko je ta "prevarala potrošnike tako, da jim je predstavila z možnostjo, da svojih podatkov ne delijo, čeprav so bili v skupni rabi samodejno upodobljeni Brez pomena."

Tiskovni predstavnik AccuWeatherja je zanikal, da gre za podobne primere. "Naša pravna ekipa ne verjame, da ti primeri ustrezajo naši praksi," je dejal tiskovni predstavnik.

»To je hitro razvijajoče se pravno področje in najboljša praksa se lahko en dan spremeni; in... vprašanja zasebnosti jemljemo zelo resno," je dejal tiskovni predstavnik. "Prizadevamo si, da bi bili naši [pogoji storitve in pogodbe] tako aktualni, kot se zakon razvija, in pogosto presegajo tisto, kar je morda zakonsko zahtevano za zaščito zasebnosti naših uporabnikov."

Reveal Mobile je od takrat objavil izjavo ob upoštevanju, da sledi "vsem smernicam trgovine z aplikacijami, pri čemer upošteva vse zavrnitve in dovoljenja na ravni naprave in aplikacije."

AccuWeather je pozneje čez dan v nadaljnji skupni izjavi z Reveal Mobile dejal, da bosta podjetji posodobili svoje aplikacije in storitve, ZDNet's poročilo.

"Reveal posodablja svoj SDK in izriva nove različice [kompleta programske opreme] v naslednjih 24 urah, pri čemer bo posodobitev za iOS začela delovati [v torek]," je dejal tiskovni predstavnik AccuWeather. "Končni rezultat bi moral biti, da se nič podatkov ne prenese nazaj v Reveal Mobile, ko se nekdo odloči za skupno rabo lokacije."

"Medtem je AccuWeather že onemogočil [komplet programske opreme], čakajoč na to posodobitev," je potrdil tiskovni predstavnik.

Poglej tudi

Imate nasvet?

Nasvete lahko varno pošljete prek Signala in WhatsApp na 646-755–8849. PGP e-pošto lahko pošljete tudi s prstnim odtisom: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.

Preberi zdaj

ZDNET PREISKAVE

Raziskovalci pravijo, da ima alkotest pomanjkljivosti, ki vzbujajo dvom o neštetih obsodbah
Tožbe ogrožajo raziskave infosec – ravno takrat, ko jih najbolj potrebujemo
Program NSA Ragtime cilja na Američane, kažejo razkrite datoteke
Razkriti dokumenti TSA razkrivajo val varnostnih pomanjkljivosti na newyorškem letališču
Vlada ZDA je prisilila tehnološka podjetja, naj predajo izvorno kodo
Milijoni Verizonovih zapisov strank, razkritih v varnostni napaki
Spoznajte skrivnostne tehnološke posrednike, ki dostavljajo vaše podatke agenciji NSA
Znotraj svetovnega terorističnega seznama, ki skrivaj spremlja milijone
198 milijonov Američanov je prizadelo 'največje' razkritje volilnih podatkov
Velika Britanija je sprejela "najskrajnejši zakon o nadzoru, ki je bil kdaj sprejet v demokraciji"
Microsoft pravi, da se v sistemu Windows 10 S ne izvaja nobena znana izsiljevalska programska oprema, zato smo jo poskušali vdreti
Dokument, ki je pricurljal v javnost, razkriva načrte Združenega kraljestva za širši internetni nadzor
  • Raziskovalci pravijo, da ima alkotest pomanjkljivosti, ki vzbujajo dvom o neštetih obsodbah
  • Tožbe ogrožajo raziskave infosec – ravno takrat, ko jih najbolj potrebujemo
  • Program NSA Ragtime cilja na Američane, kažejo razkrite datoteke
  • Razkriti dokumenti TSA razkrivajo val varnostnih pomanjkljivosti na newyorškem letališču
  • Vlada ZDA je prisilila tehnološka podjetja, naj predajo izvorno kodo
  • Milijoni Verizonovih zapisov strank, razkritih v varnostni napaki
  • Spoznajte skrivnostne tehnološke posrednike, ki dostavljajo vaše podatke agenciji NSA
  • Znotraj svetovnega terorističnega seznama, ki skrivaj spremlja milijone
  • 198 milijonov Američanov je prizadelo 'največje' razkritje volilnih podatkov
  • Velika Britanija je sprejela "najskrajnejši zakon o nadzoru, ki je bil kdaj sprejet v demokraciji"
  • Microsoft pravi, da se v sistemu Windows 10 S ne izvaja nobena znana izsiljevalska programska oprema, zato smo jo poskušali vdreti
  • Dokument, ki je pricurljal v javnost, razkriva načrte Združenega kraljestva za širši internetni nadzor