导语:近日,外媒报道称,热门天气应用程序AccuWeather已经将用户地理位置数据发送给了第三方数据营收公司,即便是用户已经关闭位置共享服务也无济于事。

accuweather.jpg

近日,外媒报道称,热门天气应用程序AccuWeather已经将用户地理位置数据发送给了第三方数据营收公司,即便是用户已经关闭位置共享服务也无济于事。

AccuWeather是苹果应用商店中最受欢迎的天气应用之一,具有接近完美的四星评级和数百万的下载量。但该应用程序没有说的是,它会在未经用户明确许可的情况下将敏感数据发送给从用户位置数据中获利的第三方公司。

近日,安全研究人员Will Strafach在拦截了运行最新版本的AccuWeather及其服务器的iPhone的流量后发现,即使在系统关闭定位分享权限时,AccuWeather应用仍会向其合作的三方数据监控商Reveal Mobile发送用户的无线路由名称及其MAC地址。这些数据可以与公共数据相连,显示出用户设备的大致位置。

Zdnet工作人员之后单独验证了这一发现,发现只使用Wi-Fi路由器的MAC地址和公共数据就能够成功定位位于其纽约办公司几米之内一个运行AccuWeather应用的iPhone位置数据。

accuweather-2-jpg.jpg

一旦用户开启定位服务,AccuWeather应用就会向Reveal数据公司发送用户的精确坐标(包括速度和高度信息等等)。

据悉,Reveal本身并不是广告客户,而是一家向各出版商、开发者或媒体提供用户数据信息服务的公司。Reveal通过三种途径监测用户数据:包括内置app、gps,或者是通过蓝牙beacon。根据其官网介绍称,该公司会将这些从应用程序中获取的位置数据转化成有意义的受众数据,通过蓝牙beacon,该公司就能够监测出用户设备的“经纬度”数据。

Reveal Mobile发言人在接受采访时透露,虽然公司确实收集了用户的Wi-Fi数据和MAC地址信息,但它并没有将其用于位置数据。

该公司首席执行官Brian Handley表示,所有数据采集都是匿名的、用户细分的,我们从没有也不会跟踪个人设备。但是作为一个例子,他描述了该公司可以把广告投放给位于星巴克范围内的客户。

据AccuWeather公司一名发言人介绍,AccuWeather含有Reveal Mobile的监控SDK,但是该技术在AccuWeather应用中的时间还不够长,不足以发挥此次效用。

AccuWeather新兴平台执行副总裁David Mitchell表示,

未来,我们计划通过Reveal Mobile进行用户数据分析和细分工作,以便增强对用户的了解力度,为用户和广告客户创造出更具相关性和有用的体验。

研究人员Strafach表示,虽然AccuWeather在其隐私声明中表示,该公司及其合作伙伴可能会使用地理位置跟踪技术,但其隐私政策并未明确指出这些数据会被用于广告目的。他说,

我发现了一些本质上的问题,AccuWeather看似是在完全无辜的前提下获取了用户的GPS信息——但是毕竟没有用户会希望这些位置数据用于广告目的。

最近已经有很多人@Strafach说已经根据他的发现,删除了这一应用程序。他说,

当用户关闭GPS服务后,该应用程序会发送用户的‘WIFI网络名称’,而且可能会使用蓝牙beacon技术。这一点就存在疑点,因为他们的网站明确指出,使用Wi-Fi信息是用于地理定位,但是现在看起来,他们已经明显的踩过线了,毕竟没有人希望分享自己的位置数据,而且还是用于广告目的。

在一篇分享其发现细节的博客中,Strafach表示,过去类似的opt-out(在未经用户允许下单方面进行的行为)地理位置跟踪行为已经引起了联邦贸易委员会(FTC)执法部门的关注。在2016年的案例中,一个违规应用程序在为用户提供“是否选择分享个人信息”后选择无视用户选择,自动分享了用户的信息,结果遭到了FTC的制裁。

对此,AccuWeather的发言人否认此次案件与2016年的相似,他说,

我们的法律团队认为,这些案件与我们的情况没有相关性。我们对待隐私问题一直十分认真,并努力将‘服务条款和协议’视为法律一样尊重、遵循。

Reveal Mobile数据公司也已经发表了一份声明,指出其一直遵循“所有应用商店指南、尊重所有设备级别以及应用程序的opt-outs和许可机制。”

当天晚些时候,AccuWeather和Reveal Mobile发表联合声明称,公司随后会对其应用程序和服务进行更新处理。一名AccuWeather发言人表示:

Reveal正在更新其SDK并在接下来的24小时内推出其新版本的‘软件套件’,iOS更新程序也将在‘周二补丁日’发布。修复后的最终结果应该是——用户禁用位置分享服务后,就不会再有数据传送给Reveal。同时,AccuWeather已经禁用了当前的‘软件套件’,等待更新程序。

源链接

Hacking more

...