Mellékleteink: HUP | Gamekapocs
Keres

Engedély nélkül is követte az AccuWeather a felhasználókat

Habók Lilla, 2017. augusztus 24. 13:53
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Kiderült, hogy az AccuWeather a felhasználók tartózkodási helyét követte monetizációs célokkal a Reveal Mobile-on keresztül. A helyadatokat akkor is beazonosították Wi-Fi-n keresztül, ha a felhasználó nem engedélyezte a követést.

Nem akarja elismerni az AccuWeather azt a problémát, hogy engedély nélkül küldött helymeghatározási adatokat az iOS felhasználóiról egy másik cégnek monetizációs célokkal - derül ki a cég közleményéből. A helyzet azért is kiemelkedően fontos, mivel a cég időjárás-jelentő alkalmazása az egyik legnépszerűbb alkalmazás az App Store-ban, több millió letöltéssel és eddig nagyrészt pozitív értékelésekkel. Az app használói azonban nem tudhatták, hogy a helyzetüket a szolgáltatás folyamatosan követi, még akkor is, ha nem hagyták jóvá a felugró ablakban, hogy "engedélyezik az AccuWeather hozzáférését a helyadataikhoz, mikor éppen nem használják az appot".

Egy biztonsági szakértő, Will Strafach figyelmes lett rá, hogy iOS-en az AccuWeather abban az esetben is lokációs adatokat küld a mobiladatok monetizációjával foglalkozó Reveal Mobile-nak minden órában, amikor az alkalmazásnak nem engedélyezett a pontos helyadatokhoz való hozzáférés. Ekkor a szolgáltatás leolvassa a felhasználó közelében lévő Wi-Fi router nevét és egyedi MAC címét, majd ezt küldi át a másik cég szervereire. Az elküldött információk könnyen összevethetőek a nyilvános adatokkal, így megközelítőleg beazonosítható a felhasználó tartózkodási helye, amelyet a ZDNetnek sikerült is egy próbával alátámasztania.

A ZDNet bizonyítása arra vonatkozóan, hogy a felhasználó helye azonosítható

Az a cég adatvédelmi irányelvei közt szerepel, hogy a szolgáltatás használhat helymeghatározó technológiákat, ezért az amerikai szabályok szerint ez még önmagában nem jelent problémát - bár az európai felhasználók adatait csak az EU-s Privacy Shieldben foglaltak szerint tárolhatja a cég, de erről nincs információ. A tartózkodása megfigyelése a felhasználó engedélye nélkül Wi-Fi segítségével azonban már problémásnak tűnik minden szempontból. Ráadásul a cég ügyvezető igazgatója, David Mitchell első nyilatkozatában említette a ZDnetnek, hogy az adatokat lényegében hirdetési célokra használnák, ami viszont már kifejezetten nem szerepel a felhasználók által elfogadott irányelvek között.

A Reveal Mobile technológiáját "még nem használtuk elég ideig ahhoz, hogy hasznos legyen. (...) A jövőben az AccuWeather azt tervezi, hogy a Reveal Mobile-on keresztül az adatokat a közönség szegmentálására és elemzésére veszi igénybe, hogy kontextuálisan még relevánsabb legyen, továbbá segítséget tudjon nyújtani a felhasználóknak és a hirdetőknek." - mondta az ügyvezető.

Ezt követően az AccuWeather és a Reveal Mobile közös sajtóközleménye már ködösített, amellyel kapcsolatban a Daring Fireball részletesen elmagyarázza, hogy miért számít (szinte) minden mondata csúsztatásnak. Ebben ugyanis az időjárás-jelentő app szolgáltatója arra helyezi a hangsúlyt, hogy a cég nem fért hozzá olyan GPS koordinátákhoz, amelyet a felhasználók nem engedélyeztek. "Más adatok, mint a Wi-Fi hálózatok információi, amelyek nem számítanak felhasználói információnak, csak rövid ideig voltak elérhetőek a Reveal SDK-n, de az AccuWeather nem használta azokat." - írja a közlemény.

Arról próbálja elterelni a figyelmet a leírás, hogy a Wi-Fi hálózatokból nyert információkat valóban nem maga az időjárás-jelentő alkalmazás használta fel, hanem a Reveal Mobile segítségével igyekezett információkat kinyerni az adatokból. Ez a mobilos cég ugyanis kifejezetten úgy hirdeti tevékenységét, amely a lokációs adatokat képes pénzzé tenni. A cég honlapján a leírás tökéletes megfogalmazása annak, hogy milyen előnyei lehetnek az engedély nélküli megfigyelésnek.

"A helymeghatározási adatok vásárlás előtti és utáni tapasztalataival kapcsolatos használati esetek egyre jobban terjednek, és ezáltal teljesen új lehetőségek nyílnak meg az online és offline kereskedők számára. Az értéket az jelenti, hogy meg tudjuk érteni egy vásárló útját, merre jár a nap folyamán. Hogy otthonról a munkahelyére utazik, vásárol, focizik, vacsorázik létfontosságú információk az ügyfél ismerete szempontjából, és a mobil helyadatok új lehetőséget teremtenek ennek a megismerésében. (...) A helyadatok arról is információt nyújtanak, hogy a vásárló hol lakik és hol dolgozik. Ezeknek az ismereteknek a párosítása a meglévő demográfiai célzási kritériumokkal lehetőséget ad a a kereskedők számára a vásárlók hajlandóságának pontosabb azonosításához, hogy melyik két helyszín a legfontosabb számukra." - szerepel a Reveal Mobile honlapján.

Többek közt ilyen adatok nyerhetőek ki a helymeghatározás alapján (Forrás: Reveal Mobile)

Ennek kapcsán az AccuWeather és a Reveal Mobile hozzátette közös közleményükben, hogy "az iparági szabványokat és jó gyakorlatokat követte", mivel felfigyeltek arra, hogy a helyadatok felhasználása "egy gyorsan fejlődő terület". Azonban a cég egy nappal később tájékoztatta a felhasználókat, hogy eltávolította a monetizációs cég SDK-ját az iOS alkalmazásból, majd pedig "teljesen eltávolította" a Reveal Mobile-t a szolgáltatásból. A cég hozzátette, hogy egyik vállalat sem használta fel a korábbiakban a begyűjtött adatokat. Még az előző napi közleményben az AccuWeather arról írt, hogy a másik vállalat hozzáférésének megszüntetése csak időleges, míg tisztázzák a körülményeket - a legutóbbi közlemény szerint viszont az eltávolítás inkább véglegesnek tűnik.

Hasonló a helyzet, mint ami az Unroll.me esetében történt, amelyben nem az adatvédelmi irányelvek változásából lehetett következtetni az "üzleti modell változására", hanem a helytelen és szabálysértő gyakorlatra a szakértők lettek figyelmesek. Tapasztalható, hogy a cégek egyre többféleképpen gyűjtik a felhasználóik adatait, sőt már vannak olyan cégek is, amelyek ennek segítésére szakosodtak. Ennek következtében egyre inkább oda kell figyelni, hogy az adatvédelmi irányelvekben milyen megfogalmazás szerepel, és még így is előfordul, hogy a cég máshogy is felhasználja az adatokat a leírtakon kívül, mint ahogy jelen esetben.