這十款流行的iOS應(yīng)用，正與第三方“共享”用戶位置數(shù)據(jù)

【獵云網(wǎng)（微信號(hào)：ilieyun）】9月10日?qǐng)?bào)道（編譯：Halcyon）

近日，多位安全研究人員爆料稱，數(shù)十款時(shí)下流行的iPhone應(yīng)用程序正在悄悄地與第三方數(shù)據(jù)貨幣公司共享“數(shù)萬(wàn)臺(tái)移動(dòng)設(shè)備”的位置數(shù)據(jù)。

目前，幾乎所有的應(yīng)用程序都需要用戶提供位置數(shù)據(jù)的訪問權(quán)限才能正常工作，如天氣和健身應(yīng)用程序，但共享這些數(shù)據(jù)通常是免費(fèi)下載應(yīng)用創(chuàng)造收入的一種方式。

參與GuardianApp項(xiàng)目的安全研究人員表示，在很多情況下，應(yīng)用程序不論何時(shí)何地都在發(fā)送精確的位置和其他敏感、可識(shí)別的數(shù)據(jù)，但幾乎從未提及位置數(shù)據(jù)將與第三方共享的事。

研究人員威爾·斯特拉法赫（Will Strafach）稱：“我相信大多數(shù)人都希望能夠安心地使用應(yīng)用程序，不必?fù)?dān)心授予敏感數(shù)據(jù)的訪問權(quán)限后個(gè)人信息會(huì)被悄悄發(fā)給第三方，這些三方公司用戶往往對(duì)其并不了解，甚至沒有與其合作的意愿。

借助工具監(jiān)控網(wǎng)絡(luò)流量，研究人員發(fā)現(xiàn)，24個(gè)流行的iPhone應(yīng)用正在收集位置數(shù)據(jù)——比如藍(lán)牙信標(biāo)到Wi-Fi網(wǎng)絡(luò)名稱——以了解某人所在的位置以及他們?nèi)チ四睦铩＿@些數(shù)據(jù)貨幣化公司還從加速器、電池充電狀態(tài)以及蜂窩網(wǎng)絡(luò)名稱中收集其他設(shè)備的數(shù)據(jù)。

作為交換，數(shù)據(jù)公司通常會(huì)付錢給程序開發(fā)人員，讓其收取數(shù)據(jù)并擴(kuò)充數(shù)據(jù)庫(kù)，還經(jīng)常根據(jù)用戶個(gè)人的位置歷史記錄來(lái)投放廣告。

Strafach表示，雖然很多應(yīng)用制造商聲稱不會(huì)收集用戶的身份信息，但經(jīng)緯度坐標(biāo)足以明確標(biāo)示出某人的住宅或工作地點(diǎn)。

舉幾個(gè)例子：

ASKfm是一款針對(duì)青少年設(shè)計(jì)的匿名問答應(yīng)用，在蘋果的App Store上擁有1400條評(píng)論，用戶數(shù)量達(dá)千萬(wàn)。它要求訪問用戶的位置并表示不會(huì)與任何人共享，但私下卻將位置信息發(fā)送給兩家數(shù)據(jù)公司AreaMetrics和Huq。這件事情被爆出后，該應(yīng)用程序制造商卻對(duì)外稱收集用戶的位置數(shù)據(jù)“符合行業(yè)標(biāo)準(zhǔn)，所以用戶是可以接受的?！?/p>

NOAA Weather Radar的評(píng)論超過(guò)26.6萬(wàn)條，下載量達(dá)百萬(wàn)。該應(yīng)用向用戶要求位置的訪問權(quán)限，稱是“用于提供天氣信息”。但今年3月份，該應(yīng)用的舊版本被發(fā)現(xiàn)將位置數(shù)據(jù)發(fā)送給三家公司Factual、Sense360和Teemo。目前該代碼已被刪除。NOAA Weather Radar程序開發(fā)團(tuán)隊(duì)Apalon發(fā)言人表示，今年初，公司“與其中一些供應(yīng)商合作進(jìn)行了有限、簡(jiǎn)短的測(cè)試”。

Homes.com是一款十分受歡迎的應(yīng)用，它要求用戶打開位置共享以幫助“查找附近的房子?！钡@段被認(rèn)為是舊代碼的代碼仍然在向AreaMetrics發(fā)送精確的坐標(biāo)。此應(yīng)用制造商表示去年與AreaMetrics進(jìn)行了“非常短期”的合作，并稱該代碼已停用。

Perfect365是一款基于云服務(wù)的AR美容應(yīng)用，在全球擁有超1億客戶，其訪問位置數(shù)據(jù)的理由是“根據(jù)您的位置和更多內(nèi)容可以提供更具針對(duì)性的定制化體驗(yàn)”，并向用戶推送更多隱私條款——其中確實(shí)有提到用戶位置數(shù)據(jù)將用于廣告。今年初，外媒BuzzFeed News就對(duì)此有過(guò)相關(guān)報(bào)道，隨后該應(yīng)用被強(qiáng)制下架，但持續(xù)時(shí)間并不長(zhǎng)，沒過(guò)多久，Perfect365又重新在應(yīng)用商店上架了。該應(yīng)用當(dāng)前版本涵蓋8家獨(dú)立數(shù)據(jù)貨幣化公司的代碼。到目前為止，該應(yīng)用開發(fā)團(tuán)隊(duì)還未對(duì)此作出任何回應(yīng)。

涉及共享位置數(shù)據(jù)的應(yīng)用名單還在不斷更新中——其中包括了一百多個(gè)Sinclair擁有的本地新聞和天氣應(yīng)用，這些應(yīng)用將位置信息共享給數(shù)據(jù)跟蹤和貨幣化公司Reveal，這家數(shù)據(jù)公司稱，通過(guò)給廣告商提供目標(biāo)受眾信息，可以很好地幫助媒體巨頭提高銷售額。

對(duì)于時(shí)下流行應(yīng)用的開發(fā)商和貨幣化公司來(lái)說(shuō)，這可是巨大的商機(jī)，利潤(rùn)絕對(duì)豐厚，其中有一些公司一天下來(lái)能收集到數(shù)十億個(gè)位置數(shù)據(jù)。

當(dāng)然，沒有人會(huì)輕易承認(rèn)自己的問題，大多數(shù)數(shù)據(jù)貨幣化公司否認(rèn)自己有不當(dāng)行為，并宣稱用戶隨時(shí)可以選擇關(guān)閉位置訪問權(quán)限。大部分公司表示，他們事前就與應(yīng)用程序開發(fā)商明確聲明必須在程序界面上清楚明了地告知用戶其個(gè)人數(shù)據(jù)正在被收集并將共享給第三方公司。

GuardianApp的研究表明，這些要求幾乎從未得到證實(shí)。

Reveal表示，它要求用戶“查看其隱私條款中說(shuō)明位置數(shù)據(jù)的使用案例”，且用戶可以隨時(shí)選擇退出。跟Reveal一樣，Huq表示會(huì)對(duì)合作的應(yīng)用程序進(jìn)行定期檢查，以確保應(yīng)用開發(fā)團(tuán)隊(duì)向用戶明確解釋公司的服務(wù)。AreaMetrics主要從咖啡店和零售商店等公共區(qū)域收集藍(lán)牙信標(biāo)數(shù)據(jù)，聲稱對(duì)用戶的個(gè)人數(shù)據(jù)“沒興趣”。

Sense360表示，收集的數(shù)據(jù)都是匿名的，且需要應(yīng)用程序獲得用戶的明確授權(quán)，但Strafach稱，他所見過(guò)的app中，很少包含尋求用戶保證的文本。對(duì)于為什么某些應(yīng)用程序中沒有這類文本，該公司并沒有作出具體回應(yīng)。Wireless Registry表示，公司還要求應(yīng)用程序征得用戶的同意，但不愿就其用于確保用戶隱私的安全措施置評(píng)。inMarket回應(yīng)稱，公司遵循廣告標(biāo)準(zhǔn)和指南。

Cuebiq聲稱使用“先進(jìn)的加密方法”來(lái)存儲(chǔ)和傳輸數(shù)據(jù)，但Strafach說(shuō)，他沒有發(fā)現(xiàn)任何數(shù)據(jù)被加密的證據(jù)。Cuebiq還表示其并不是一個(gè)“數(shù)據(jù)追蹤器”，雖然市場(chǎng)上也會(huì)有某些應(yīng)用開發(fā)團(tuán)隊(duì)希望通過(guò)用戶數(shù)據(jù)獲利，但據(jù)說(shuō)大多數(shù)公司還只是借助數(shù)據(jù)更好地為用戶提供服務(wù)。Factual還表示，它會(huì)使用位置數(shù)據(jù)進(jìn)行廣告和分析，但必須在應(yīng)用內(nèi)獲得用戶的授權(quán)。

Teemo、SafeGraph、Mobiquity和Fysical均未回復(fù)置評(píng)請(qǐng)求。

Strafach表示：“這些公司似乎都不打算對(duì)其所作所為負(fù)法律責(zé)任，相反，它們聲稱要執(zhí)行某種自我監(jiān)管。”

Strafach說(shuō)到，就現(xiàn)在的情況來(lái)看，用戶能做的并不多，不過(guò)可以在iPhone的隱私設(shè)置中限制廣告跟蹤，這樣一來(lái)，定位跟蹤器想要識(shí)別用戶就沒那么容易了。

蘋果下個(gè)月開始將大力打擊那些沒有隱私條款的應(yīng)用程序。但考慮到一開始很少有人會(huì)關(guān)注、閱讀這些條款，不能指望應(yīng)用程序在短時(shí)間內(nèi)就會(huì)作出改變。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。