Ранее на этой неделе независимый ИБ-исследователь Уилл Старфах (Will Strafach) сообщил о том, что популярное «погодное» приложение для iOS, AccuWeather, собирает данные о пользователях и передает эту информацию третьим лицам, а именно партнерской компании Reveal Mobile, которая занимается аналитикой, рекламой и монетизацией данных. Так, официальный сайт компании обещает клиентам «доходы без показа рекламы». При этом исследователь подчеркивает, что сбор данных осуществляется даже в том случае, если пользователь не давал приложению таких разрешений.
Специалист пишет, что за 36 часов наблюдений AccuWeather отсылало информацию на серверы RevealMobile 16 раз. Как выяснилось, приложение собирает следующие данные:
- имя и BSSID сети Wi-Fi, к которой подключено устройство;
- статус Bluetooth-соединения (включено или отключено);
- точные GPS-координаты устройства.
Хотя зачастую получить GPS-координаты невозможно, так как многие пользователи попросту отключают данную функциональность, для определения местоположения устройства может использоваться и информация о Wi-Fi сети. Подобные услуги, к примеру, предлагает компания Skyhook, а также в сети представлены публичные базы данных, которыми может воспользоваться любой желающий. По сути, представители Reveal Mobile имели возможность отслеживать каждого отдельного пользователя, устанавливая, к примеру, в какие магазины и кафе тот ходит, какие места посещает. Подобная информация может быть использована для показа таргетированной рекламы, как самим AccuWeather, так и другими компаниями.
Представители AccuWeather и Reveal Mobile уже подготовили совместное официальное заявление, в котором отрицают обвинения Старфаха. Представители компаний пишут, что исследователь заблуждается, и если пользователь не давал своего согласия на сбор информации, сбор GPS-координат не производится.
Также разработчики AccuWeather заявили, что информация о Wi-Fi сетях не является «пользовательскими данными», но эта информация действительно была доступна Reveal SDK на протяжении некоторого времени. Причем разработчики «погодного» приложения об этом якобы ничего не знали.
В итоге компании приняли решение, что во избежание дальнейших недоразумений представители Reveal обновят свой SDK, а пока ведется работа по его обновлению, Reveal SDK будет исключен из состава iOS-версии AccuWeather.
Представители Reveal сообщили, что уже разбираются в случившемся и предполагают, что в код SDK могла закрасться ошибка. Разработчики заверили, что они никогда не занимались реверс-инжинирингом полученных данных, с целью определения местоположения пользователей, и никогда не имели таких намерений.
Напомню, что ранее на этой неделе из официального каталога приложений Google Play было удалено более 500 приложений, в составе которых обнаружили рекламный SDK Igexin. Функциональность Igexin была очень похожа на Reveal и заключалась в том, что он тайно, с помощью зараженных приложений, собирал разные данные о пользователях и их устройствах, после чего передавал их на серверы компании. Так, Igexin похищал историю журнала вызовов, данные GPS, информацию о Wi-Fi сетях и список установленных приложений. Специалисты Google незамедлительно признали Igexin адварью и провели в каталоге приложений основательную «чистку».