Сейчас многие в курсе того, что разработчики различных приложений и сервисов обеспечивают возможность пересылки информации о своих пользователях или клиентах третьим лицам. Это может быть рекламная сеть, компания или аналитическое агентство. Делают это многие разработчики и издатели, прикрываясь тем, что вся информация, которая отсылается, обезличена.
Специалисты по информационной безопасности много раз уличали в подобном сервисы или приложения, о которых и подумать нельзя, что они делают нечто подобное. На днях вскрылся схожий случай, причем ситуацию нельзя назвать рядовой — данные пользователей третьей стороне отдает iOS приложение AccuWeather, с которым работают многие пользователи мобильных устройств и ПК,
Само это приложение запрашивает доступ к сбору информации о пользователе (включая его местоположение), обосновывая это тем, что программа, якобы, будет давать корректные предупреждения о проблемах с погодой, обновляться или и вообще работать более эффективно.
Для того, чтобы у приложения была возможность сделать все это, требуется следующая информация (программа собирает эти данные после получения соответствующего разрешения):
- Точные GPS-координаты, включая текущее местоположение пользователя и скорость его передвижения;
- Имя беспроводной точки доступа, к которой в текущий момент подключен пользователь. Эту информацию также можно использовать для уточнения геолокации;
- Считывание информации об активности устройства.
Представители интернет-СМИ Medium решили проверить, насколько безопасным является это приложение. Как оказалось, в течение 36 часов оно отправляло на сервера компании указанные выше данные 16 раз. Так что вполне можно говорить о том, что пользовательская информация отправляется на сервера компании-владельца программы раз в несколько часов.
Информация, кстати, отсылается компании Revealmobile Она занимается интернет-рекламой и маркетингом. В частности, на ее сайте сообщается, что компания «позволит конвертировать данные по геологации в ценную аудиторию. Компания-клиент при этом сможет генерировать больший доход без необходимости дополнительной рекламы».
Кроме того, Revealmobile использует данные о местоположения человека для того, чтобы дать понимание о его поведенческих особенностях. Понятно, что такая информация будет полезна, в первую очередь, маркетологам и аналитикам различных производителей товаров и поставщиков услуги и сервисов. При этом алгоритм определяет местоположение «дом» и «офис», для того, чтобы дать ритейлерам понимание ситуации по пользовательской аудитории любого из регионов, где используют погодный софт.
Сложно сказать, насколько хорошо информация анонимизируется, но то, что третьей стороне погодное приложение высылает точное местоположение пользователя, это правда. Кроме того, высылаются и другие данные, вроде модели роутера и BSSID. Если не давать приложению отправлять данные о местоположении, оно все равно будет поставлять «на сторону» данные, которые включают модель роутера и BSSID. Это, снова-таки, позволяет уточнить местоположение пользователя приложения и без GPS.
По словам одного из специалистов по информационной безопасности, Уилла Страфача, изучающих ситуацию с приложением, AccuWeather для iOS не единственная такая программа в каталоге Apple, которая связана с RevealMobile. В каталоге приложений их более сорока, возможно, и значительно больше.
Ну а что говорят разработчики приложения? «Мы работаем над тем, чтобы политика использования программы и само приложение находились в правовом поле», — указано в официальном заявлении компании. В Reveal Mobile, в свою очередь, заявляют о соблюдении всех правил положений политики использования каталога приложений Apple.
В то же время, разработчик AccuWeather пока приостановил работу программного пакета, связанного с изучением пользовательских предпочтений и отсылкой этих данных в Reveal Mobile. Как бы там ни было, некоторые представители инфобеза рекомендуют как можно быстрее удалить эту программу, во всяком случае, до того момента, как все прояснится.
Автор: Максим Агаджанов