L'app Accuweather su iOS tiene traccia della posizione dell'utente anche quando è spenta

Una delle app meteo più popolari sull'App Store di Apple con milioni di download, AccuWeather, è stata trovata per accedere ai dati sulla posizione dell'utente senza il permesso esplicito dell'utente e li sta inviando a una società di monetizzazione dei dati di terze parti.

Come sottolineato dal ricercatore di sicurezza Will Strafach, AccuWeather richiede all'utente di consentire all'applicazione di accedere alla posizione del dispositivo anche quando l'app non viene utilizzata per ottenere aggiornamenti più rapidamente e ridurre i tempi di avvio dell'app.

Ma se un utente concede questa autorizzazione di localizzazione, Strafach ha scoperto che l'applicazione inizia a inviare alcuni bit e informazioni a 'rivelmobile (.com)'.

Queste informazioni includono coordinate GPS, velocità attuale e altitudine; nome e BSSID del router WiFi attualmente connesso al dispositivo e se il dispositivo ha il Bluetooth attivato o disattivato.

Leggi anche: Stanco dei siti web che si nascondono nella tua posizione? Ecco come fermarli

Strafach ha intercettato i dati del suo iPhone e ha scoperto che durante un periodo di 36 ore, l'app AccuWeather - in esecuzione in background - ha inviato le informazioni di cui sopra a RevealMobile ogni poche ore, per un totale di 16 volte la trasmissione dei dati.

Secondo il sito web di RevealMobile, "convertono i segnali di localizzazione mobile in un pubblico di alto valore". Questo aiuta le aziende associate a RevealMobile a generare più entrate con o senza pubblicità.

“I dati sulla posizione informano anche la posizione della casa e del lavoro dei clienti. L'associazione di queste informazioni con i criteri di targeting demografico esistenti consente ai rivenditori di rivolgersi ai consumatori con un'elevata propensione a visitare in base a due delle loro posizioni più rilevanti ", si legge sul sito Web di RevealMobile.

Ciò significa che l'app AccuWeather stava trasmettendo attivamente i dati sulla tua posizione al sito Web, che a sua volta monetizzava i dati fornendoli a parti interessate come rivenditori e inserzionisti.

"Ascoltiamo i dati lat / long e quando un dispositivo si" urta "in un beacon Bluetooth", aggiunge il sito Web.

Inoltre, AccuWeather non è un caso autonomo. Il sito Web di RevealMobile afferma inoltre di eseguire il proprio servizio su centinaia di applicazioni mobili negli Stati Uniti.

Leggi anche: Ecco come impedire a Uber di tracciare la tua posizione

Un'altra app per il tempo che mostrava schemi simili di trasmissione dei dati a RevealMobile è: l'app Meteo di Frank di KPRC 2.

L'app AccuWeather o RevealMobile potrebbero non avere intenzioni dannose, ma il modo in cui stanno acquisendo le informazioni dell'utente - senza il loro esplicito consenso e conoscenza - sembra essere errato.

Secondo un rapporto ZDNet, sia AccuWeather che RevealMobile aggiorneranno le loro app e servizi dopo questa rivelazione.

Aggiornamento: "Se un utente opta per il tracciamento della posizione su AccuWeather, non vengono raccolte o trasmesse coordinate GPS senza ulteriore autorizzazione da parte dell'utente", hanno dichiarato AccuWeather e RevealMobile a.

Nella dichiarazione congiunta a, le società hanno rivelato che le informazioni sulla rete Wi-Fi "che non sono informazioni dell'utente" erano disponibili sull'SDK di Reveal per un breve periodo, ma AccuWeather non era a conoscenza di tali dati e non ha mai usato tali dati per qualsiasi scopo.

"Riconosciamo che questo è un campo in rapida evoluzione e qual è la migliore pratica un giorno potrebbe cambiare il prossimo. Per evitare ulteriori interpretazioni errate, Reveal sta aggiornando il suo SDK e pubblicando nuove versioni dell'SDK nelle prossime 24 ore, con l'aggiornamento iOS in diretta stasera. ”

A seguito dell'aggiornamento, nessun dato verrà trasmesso a RevealMobile una volta che l'utente ha disattivato la condivisione della posizione. AccuWeather afferma di aver disabilitato l'SDK fino a quando non viene aggiornato.

"L'SDK potrebbe essere frainteso, e assicurano che nessuna ingegneria inversa delle posizioni è mai stata condotta da alcuna informazione raccolta, né l'intenzione", ha dichiarato Reveal.

L'SDK verrà aggiornato dopo che è stato aggiornato e le aziende modificheranno anche il loro Accordo di licenza per l'utente finale per aumentare la trasparenza per gli utenti.

Aggiornamento 2 (24 agosto): AccuWeather ha aggiornato la sua app per iOS e ha completamente rimosso RevealMobile.

“L'app di AccuWeather utilizzava un Software Development Kit (SDK) di un fornitore di terze parti (Reveal Mobile) che inavvertitamente consentiva la trasmissione dei dati del router Wi-Fi a questo fornitore di terze parti. Questi dati non sono mai stati accessibili o utilizzati da AccuWeather e abbiamo ricevuto garanzie dal venditore che lo stesso vale per loro ", ha dichiarato AccuWeather a.