Популярнейшее приложение без разрешения отправляет геоданные рекламодателям
Приложение для прогнозирования погоды AccuWeather передает компании RevealMobile данные о перемещениях пользователя в пространстве, даже если тот отказывает ему в доступе к GPS-координатам. В этом случае AccuWeather отправляет другие связанные с геопозицией данные компании RevealMobile.
RevealMobile называет своим продуктом "ценную аудиторию" для рекламодателей. Они анализируют перемещения пользователей, определяют, где у них дом и работа, куда они ещё ходят, на основе всей этой информации позволяют настраивать точные таргетинги рекламных кампаний.
Эта компания утверждает, что собирает геолокационные данные от "сотен" мобильных приложений. Специалист по безопасности Уилл Страфач, привлекший внимание к AccuWeather, нашел 40 популярных приложений, которые отправляют RevealMobile данные.
Но главное преступление AccuWeather состоит не в самом факте обмена данными. Когда оно запрашивает доступ к геолокационной информации, пользователь может нажать кнопку "не разрешать" и надеяться после этого, что о его перемещениях рекламодатели не узнают. На самом деле приложение перестанет только передавать им GPS-данные и продолжит делиться MAC-адресом компьютера и идентификатором роутера. Анализ и комбинирование этих данных с другими тоже позволяет делать выводы о перемещениях пользователя.
В комментарии TechCrunch представитель AccuWeather заявил: команда приложения не знала, что информация о Wi-Fi-подключениях доступна RevealMobile благодаря использованию их SDK. SDK — это набор сторонних инструментов разработки, код третьей стороны, интегрируемый в приложение для добавления определенных функций. В AccuWeather утверждают, что отключили SDK RevealMobile из приложения и вернут только после доработки, когда он уже не сможет получать геоданные без согласия пользователя.