wechatimg801

研究人员曝 iOS 版天气应用 AccuWeather 在禁用定位时仍偷发数据

  • 浏览次数 3900
  • 喜欢 0
  • 评分 12345

信息安全研究人员 Will Strafach 近期刊文,指出著名气象预报公司 AccuWeather 的 iOS 应用偷发 GPS 坐标至合作的三方数据商 Reveal Mobile,即使在系统关闭定位分享权限时,AccuWeather 应用仍会向其发送用户无线路由 BSSID、蓝牙状态等。

由于在用户关闭定位服务时,AccuWeather 仍会向 Reveal Mobile 发送无线路由名称和 BSSID,因此 Strafach 怀疑该偷发数据用来监控用户定位。在 Strafach 36小时的测试时间内,未在测试 iPhone 前台运行的 AccuWeather 应用总共向 Reveal Mobile 发送了 16次 信息,几乎每个数小时就会发送。

Reveal 是一家向各出版商、开发者或媒体提供用户数据信息服务的公司。Reveal 通过app、gps、或蓝牙 beacon 三种途径监测用户数据。AccuWeather 是其合作应用,含有 Reveal 的监控 SDK。

作为回应,Reveal 声称所有数据的采集均是匿名、用户细分的,无意采集设备的个人定位信息,而且该公司的 SDK 并未在设备禁用定位服务的情况下,逆向工程收集用户设备的定位信息,Reveal 调查当前版本 SDK 的行为后,确实发现令人误解的行为,Reveal 会发布新版本的 SDK,确保在禁用定位服务时不再发送任何用户设备信息。

843c1a45f63b1a8

AccuWeather 也和 Reveal 发布联合回应,称应用并不会在禁用定位服务或者禁用授权的情况下,收集用户的 GPS 坐标信息。在禁用定位服务时发送的用户无线路由名称和 BSSID 是 Reveal SDK 的行为,AccuWeather 并不知情。而且 Reveal 确保该数据并不会用于记录用户定位,而且在新版本 SDK 中会取消。

稿源:cnBeta,封面源自网络;

hackernews_foot