| 21 августа 2017 г. — 18:24 PT
Обновление №2: AccuWeather опубликовало совместное заявление с Reveal Mobile. Из заявления:
Несмотря на сообщения об обратном от источников, не связанных с фактической информацией, если пользователь отказывается от отслеживания местоположения в AccuWeather, GPS-координаты не собираются и не передаются без дальнейшего согласия пользователя.
Другие данные, такие как информация о сети Wi-Fi, не являющаяся пользовательской информацией, в течение короткого периода были доступны в Reveal SDK, но AccuWeather их не использовал. По сути, AccuWeather не знал, что эти данные ему доступны. Следовательно, AccuWeather ни в какой момент не использовал эти данные ни для каких целей.
Обновление: Reveal Mobile выпустило следующее заявление для 9to5Mac в ответ на аудит Strafach:
Мы не пытаемся проводить обратное проектирование местоположения устройства, если кто-то отказывается от служб определения местоположения, независимо от источника данных. Изучив поведение нашего текущего SDK, мы видим, как это может быть неверно истолковано. В ответ на это мы выпускаем сегодня новую версию нашего SDK, которая больше не будет отправлять никаких точек данных, которые могут быть использованы для определения местоположения, когда кто-то отказывается от совместного использования местоположения.
AccuWeather на iOS может нарушать условия соглашения разработчика Apple, а также доверие пользователей, как показывает новый аудит безопасности. Уилл Страфах, специалист по безопасности, обнаружил, что погодное приложение для iOS потенциально отправляет идентифицирующую информацию пользователя и устройства сторонней компании, даже когда общий доступ к данным о местоположении запрещен.
Годами сбор пользовательских данных стал своего рода ожидаемым явлением для бесплатных мобильных приложений. Собирая пользовательские данные и продавая их, компании могут поддерживать свое финансирование и предлагать бесплатные приложения. Проблема возникает тогда, когда эти приложения не раскрывают должным образом, как и какие данные собираются.
В ходе своего исследования Страфах обнаружил, что AccuWeather собирает данные через SDK сторонней компании. Этот SDK, предоставленный Reveal Mobile, позиционируется как способ «помочь издателям приложений и медиакомпаниям извлечь максимальную выгоду из своих данных о местоположении». Если бы пользователь скачал AccuWeather и разрешил ему использовать свои данные о местоположении, он бы также неосознанно передал Reveal Mobile следующее:
- Точные GPS-координаты его устройства
- Название сети Wi-Fi, к которой он подключен
- Включен ли у него Bluetooth
Конечно, большая часть этого сбора данных охватывается Политикой конфиденциальности AccuWeather.
Вас могут попросить предоставить личную идентифицирующую информацию, такую как ваше имя, адрес и/или адрес электронной почты (коллективно «Личная идентифицирующая информация» или «PII»)…
Вас могут попросить предоставить информацию, которая не считается PII, такую как почтовый индекс/почтовый индекс и/или страна происхождения.
Политика технически охватывает ситуацию, когда пользователь загружает приложение и соглашается на совместное использование данных о местоположении. Затем у пользователя должно быть ожидание, что он может делиться или не делиться личной идентифицирующей информацией.
Дихотомия в ситуации, обнаруженной Страфахом, заключается в том, что если пользователь запретит запрос iOS на совместное использование местоположения, Reveal Mobile все равно будет получать потенциально идентифицирующую информацию. В частности, они будут знать SSID Wi-Fi сети пользователя и смогут отслеживать геолокацию с помощью Bluetooth-маяков.
Если пользователь отказывается делиться своими данными о местоположении по запросу iOS о совместном использовании местоположения, то ожидается, что никакие данные о местоположении вообще не будут передаваться. По состоянию на последнюю версию AccuWeather 10.5.2, пользователь мог отказаться от предоставления своих данных о местоположении, но при этом неосознанно делиться ими.
Запрещая геолокационные данные, пользователи должны быть явно уведомлены о том, что их данные о местоположении все еще могут отслеживаться, как это предусмотрено Политикой конфиденциальности AccuWeather.
Используя этот сбор данных, Reveal Mobile может сопоставлять взаимодействия пользователей для создания так называемых «высокоценных аудиторий». Проблема здесь заключается в том, насколько анонимны эти пользовательские данные. Как отмечает Страфах, «Эта практика другой компании, по-видимому, ранее привлекала внимание FTC».
Изображение: AccuWeather
Посетите 9to5Mac на YouTube для получения дополнительных новостей об Apple: