这十款流行的iOS应用,正与第三方“共享”用户位置数据!

WechatIMG72_meitu_1

【猎云网(微信号:)】9月10日报道(编译:Halcyon)

近日,多位安全研究人员爆料称,数十款时下流行的iPhone应用程序正在悄悄地与第三方数据货币公司共享“数万台移动设备”的位置数据。

目前,几乎所有的应用程序都需要用户提供位置数据的访问权限才能正常工作,如天气和健身应用程序,但共享这些数据通常是免费下载应用创造收入的一种方式。

参与GuardianApp项目的安全研究人员表示,在很多情况下,应用程序不论何时何地都在发送精确的位置和其他敏感、可识别的数据,但几乎从未提及位置数据将与第三方共享的事。

研究人员威尔·斯特拉法赫(Will Strafach)称:“我相信大多数人都希望能够安心地使用应用程序,不必担心授予敏感数据的访问权限后个人信息会被悄悄发给第三方,这些三方公司用户往往对其并不了解,甚至没有与其合作的意愿。

借助工具监控网络流量,研究人员发现,24个流行的iPhone应用正在收集位置数据——比如蓝牙信标到Wi-Fi网络名称——以了解某人所在的位置以及他们去了哪里。这些数据货币化公司还从加速器、电池充电状态以及蜂窝网络名称中收集其他设备的数据。

作为交换,数据公司通常会付钱给程序开发人员,让其收取数据并扩充数据库,还经常根据用户个人的位置历史记录来投放广告。

Strafach表示,虽然很多应用制造商声称不会收集用户的身份信息,但经纬度坐标足以明确标示出某人的住宅或工作地点。

举几个例子:

ASKfm是一款针对青少年设计的匿名问答应用,在苹果的App Store上拥有1400条评论,用户数量达千万。它要求访问用户的位置并表示不会与任何人共享,但私下却将位置信息发送给两家数据公司AreaMetrics和Huq。这件事情被爆出后,该应用程序制造商却对外称收集用户的位置数据“符合行业标准,所以用户是可以接受的。”

NOAA Weather Radar的评论超过26.6万条,下载量达百万。该应用向用户要求位置的访问权限,称是“用于提供天气信息”。但今年3月份,该应用的旧版本被发现将位置数据发送给三家公司Factual、Sense360和Teemo。目前该代码已被删除。NOAA Weather Radar程序开发团队Apalon发言人表示,今年初,公司“与其中一些供应商合作进行了有限、简短的测试”。

Homes.com是一款十分受欢迎的应用,它要求用户打开位置共享以帮助“查找附近的房子。”但这段被认为是旧代码的代码仍然在向AreaMetrics发送精确的坐标。此应用制造商表示去年与AreaMetrics进行了“非常短期”的合作,并称该代码已停用。

Perfect365是一款基于云服务的AR美容应用,在全球拥有超1亿客户,其访问位置数据的理由是“根据您的位置和更多内容可以提供更具针对性的定制化体验”,并向用户推送更多隐私条款——其中确实有提到用户位置数据将用于广告。今年初,外媒BuzzFeed News就对此有过相关报道,随后该应用被强制下架,但持续时间并不长,没过多久,Perfect365又重新在应用商店上架了。该应用当前版本涵盖8家独立数据货币化公司的代码。到目前为止,该应用开发团队还未对此作出任何回应。

涉及共享位置数据的应用名单还在不断更新中——其中包括了一百多个Sinclair拥有的本地新闻和天气应用,这些应用将位置信息共享给数据跟踪和货币化公司Reveal,这家数据公司称,通过给广告商提供目标受众信息,可以很好地帮助媒体巨头提高销售额。

对于时下流行应用的开发商和货币化公司来说,这可是巨大的商机,利润绝对丰厚,其中有一些公司一天下来能收集到数十亿个位置数据。

当然,没有人会轻易承认自己的问题,大多数数据货币化公司否认自己有不当行为,并宣称用户随时可以选择关闭位置访问权限。大部分公司表示,他们事前就与应用程序开发商明确声明必须在程序界面上清楚明了地告知用户其个人数据正在被收集并将共享给第三方公司。

GuardianApp的研究表明,这些要求几乎从未得到证实。

Reveal表示,它要求用户“查看其隐私条款中说明位置数据的使用案例”,且用户可以随时选择退出。跟Reveal一样,Huq表示会对合作的应用程序进行定期检查,以确保应用开发团队向用户明确解释公司的服务。AreaMetrics主要从咖啡店和零售商店等公共区域收集蓝牙信标数据,声称对用户的个人数据“没兴趣”。

Sense360表示,收集的数据都是匿名的,且需要应用程序获得用户的明确授权,但Strafach称,他所见过的app中,很少包含寻求用户保证的文本。对于为什么某些应用程序中没有这类文本,该公司并没有作出具体回应。Wireless Registry表示,公司还要求应用程序征得用户的同意,但不愿就其用于确保用户隐私的安全措施置评。inMarket回应称,公司遵循广告标准和指南。

Cuebiq声称使用“先进的加密方法”来存储和传输数据,但Strafach说,他没有发现任何数据被加密的证据。Cuebiq还表示其并不是一个“数据追踪器”,虽然市场上也会有某些应用开发团队希望通过用户数据获利,但据说大多数公司还只是借助数据更好地为用户提供服务。Factual还表示,它会使用位置数据进行广告和分析,但必须在应用内获得用户的授权。

Teemo、SafeGraph、Mobiquity和Fysical均未回复置评请求。

Strafach表示:“这些公司似乎都不打算对其所作所为负法律责任,相反,它们声称要执行某种自我监管。”

Strafach说到,就现在的情况来看,用户能做的并不多,不过可以在iPhone的隐私设置中限制广告跟踪,这样一来,定位跟踪器想要识别用户就没那么容易了。

苹果下个月开始将大力打击那些没有隐私条款的应用程序。但考虑到一开始很少有人会关注、阅读这些条款,不能指望应用程序在短时间内就会作出改变。