Популярное и известное приложение погоды для iOS AccuWeather собирало и передавало данные о местоположении пользователей, даже когда разрешения на общий доступ к местоположению были отключены, согласно сообщению в блоге недавно опубликованному исследователем безопасности Уиллом Страфахом.

По словам Страфаха, AccuWeather сотрудничала с фирмой по монетизации данных Reveal Mobile для сбора GPS-координат, включая скорость и высоту, названия и BSSID Wi-Fi роутера пользователя, а также информации о том, включен или выключен Bluetooth на устройстве, — все это было доступно Reveal Mobile при включенных службах геолокации.

Даже при отключенных службах геолокации AccuWeather продолжала отправлять название и BSSID Wi-Fi сети, что по-прежнему предоставляло Reveal Mobile данные о местоположении.

В течение 36-часового периода тестирования, в частности, когда приложение AccuWeather не находилось на переднем плане, мой тестовый iPhone (расположенный на столе в офисном здании) 16 раз отправлял вышеуказанную информацию в RevealMobile, примерно раз в несколько часов.

Reval Mobile — это фирма, которая использует данные о местоположении для сбора информации о доме, работе и часто посещаемых местах пользователя, сопоставляя эти данные с критериями демографического таргетинга, чтобы позволить розничным торговцам доставлять целевую рекламу. С веб-сайта компании:

Расширяя сферу применения данных о местоположении на этапы до и после покупок, открываются совершенно новые возможности для онлайн- и офлайн-ритейлеров. Ценность заключается в понимании пути потребителя и того, куда он ходит в течение дня. Путешествие из дома на работу, в магазин, на футбольную тренировку, на ужин — все это жизненно важно для понимания клиента и представляет собой новую возможность мобильных данных о местоположении.

В ответ на публикацию Страфаха в блоге Reveal Mobile заявила, что собираемые данные анонимны и сгруппированы в сегменты аудитории. «Мы не предлагаем ни одного продукта или услуги, которые позволили бы кому-либо видеть данные о местоположении отдельных устройств», — говорится в заявлении на веб-сайте Reveal Mobile. Компания также утверждает, что не проводит обратное проектирование местоположения устройства, когда общий доступ к местоположению отключен.

Мы не пытаемся выполнить обратное проектирование местоположения устройства на основе других сигналов данных, таких как Bluetooth, при отключенных службах геолокации. Анализируя поведение наших текущих SDK, мы видим, как это может быть неверно истолковано. В ответ на это мы выпускаем новую версию нашего SDK, которая больше не будет отправлять никаких точек данных, которые могут быть использованы для определения местоположения, когда кто-то отказывается от общего доступа к местоположению. Мы собираем IP-адреса, но не используем эти данные для определения местоположения, как указано в нашей политике конфиденциальности.

Вице-президент AccuWeather по развивающимся платформам Дэвид Митчелл сообщил изданию ZDNet, что AccuWeather будет использовать данные через Reveal Mobile для «сегментации и анализа аудитории, для лучшего понимания аудитории и создания более контекстно-релевантных и полезных впечатлений для пользователей и рекламодателей».

После открытия Страфаха многие люди удаляли приложение AccuWeather, и, учитывая обилие погодных приложений, доступных в App Store, это неудивительно. AccuWeather, по всей видимости, не планирует прекращать отношения с Reveal Mobile, поэтому пользователям, возможно, стоит найти другое погодное приложение.

Обновление: AccuWeather и Reveal Mobile предоставили совместное заявление по этому вопросу:

Несмотря на сообщения источников, не связанных с фактической информацией, если пользователь отказывается от отслеживания местоположения в AccuWeather, GPS-координаты не собираются и не передаются без дополнительного согласия пользователя.

Другие данные, такие как информация о сети Wi-Fi, которая не является пользовательской информацией, в течение короткого периода были доступны в Reveal SDK, но не использовались AccuWeather. Фактически, AccuWeather не знала о том, что эти данные ей доступны. Соответственно, ни при каких обстоятельствах эти данные не использовались AccuWeather ни для каких целей.

AccuWeather и Reveal Mobile стремятся следовать стандартам и лучшим практикам отрасли. Мы также признаем, что это быстро развивающаяся область, и то, что является лучшей практикой сегодня, может измениться завтра. Соответственно, мы регулярно обновляем наши практики.

Чтобы избежать дальнейших недоразумений, Reveal обновляет свой SDK и в течение следующих 24 часов выпустит новые версии SDK, причем обновление для iOS появится сегодня вечером. В результате, когда кто-то отказывается от общего доступа к местоположению, никаких данных в Reveal Mobile передаваться не будет. Тем временем AccuWeather уже отключила SDK до выхода этого обновления.

Reveal заявила, что SDK может быть неверно истолкован, и они уверяют, что обратное проектирование местоположений никогда не проводилось на основе собранной информации, и это не являлось целью.

AccuWeather будет работать с Reveal над восстановлением SDK после его внесения изменений и продолжит обновлять свои EULA, чтобы быть прозрачными и соответствовать меняющимся стандартам. AccuWeather и Reveal продолжают совершенствовать методы обработки данных и стремятся предоставлять превосходный, бесперебойный и безопасный пользовательский опыт.

Мы благодарны за поддерживающее сообщество, которое указывает на области, где мы можем оптимизировать и быть более прозрачными.

Обновление 2: AccuWeather обновила свое приложение, чтобы удалить Reveal Mobile SDK.