在 iPhone 和 Android 手机上有相当市占率的天气 App 或小工具 AccuWeather,被发现将用户位置资讯卖给第三方公司,即便用户关掉定位功能。
资安研究者 Will Strafach 发现 iPhone 上的 AccuWeather 会在背景偷偷传地理资料出去给靠卖位置资讯获利的公司 Reveal Mobile,且以每几个小时的频率传送资料。更可怕的事情是手机已关掉定位,仍会传送 Wi-Fi 路由器名称和 MAC 位址,借此猜测用户大略位置。
ZDNet 独立核实 Strafach 的发现,在纽约办公室拦截一支有 AcuuWeather 的 iPhone 手机,传送位置资讯给 Reveal Mobile。
Reveal Mobile 并不是广告公司,而是提供更详尽的资料给广告主,让他们能下更精确的广告。Reveal Mobile CEO Brian Handley 对 Cnet 编辑说,一切资料都匿名处理过了,并不会追踪特定装置。
由于 ZDNet 报导关系,Reveal Mobile 已经修改其 SDK,将引发争议的功能拿掉,依据 App Store 设计指南,设定权限管理功能。
不少手机 App 常会要求多过功能所需的权限,如手电筒 App 却要整个通讯录权限。很多开发者会有意将资料卖给广告商,广告商因此能推出更个人化的广告。先前美国联邦贸易委员会曾裁罚欺骗消费者的 App,案例中的 App 说他们已关掉分享资讯的功能,却仍在背景偷偷传资料。
- AccuWeather caught sending user location data, even when location sharing is off
- AccuWeather’s iOS app caught sending location data when it says it isn’t
- Users dump AccuWeather iPhone app after learning it sends location data to a third party
