Популярний погодний додаток виявився шпигуном

Популярний iOS-додаток про погоду AccuWeather збирав дані про користувачів і передавав їх компанії Reveal Mobile, яка займається монетизацією інформації про місцезнаходження.

Це з'ясував дослідник безпеки Уїлл Страфах, передає TechCranch.

"Передача даних здійснювалася навіть у тих випадках, коли додаток не отримував на це згоди. Спеціаліст з'ясував, що за 36 годин спостережень AccuWeather відправив інформацію в Reveal Mobile загалом 16 разів", - йдеться у публікації.

Додаток збирав наступні дані: точні GPS-координати користувача пристрою; ім'я та ідентифікатор базового набору послуг (BSSID) мережі Wi-Fi, в якій використовується пристрій; статус персональної мережі Bluetooth (увімкнено/вимкнено).

За даними про місцезнаходження користувача Reveal Mobile могла відслідковувати його звичайну поведінку – наприклад, те, де він обідає, які відвідує магазини. Такі відомості у поєднанні з демографічними показниками становлять цінну інформацію для підприємств сфери торгівлі і послуг, які можуть на її основі робити фокусні рекламні пропозиції мобільним користувачам.

У спільній заяві AccuWeather і Reveal Mobile сказано, що дані про місцезнаходження не збираються і не передаються без додаткового дозволу користувачів. Компанії запевняють, що інформація про Wi-Fi не відноситься до користувацької, але визнають, що деякий час вона була доступна SDK Reveal.

Читайте також: Google розробила платформу доповненої реальності

Щоб уникнути непорозумінь, компанії прийняли рішення виключити даний комплект розробки з iOS-версією AccuWeather, доки він не буде оновлений. Компанія Reveal Mobile припускає, що код SDK міг бути спотворений. Розробники запевняють, що ніколи не займалися зворотним проектуванням даних про місцезнаходження користувачів, і навіть не мали такого наміру.

Наприкінці серпня шпигунський характер був виявлений у ряді додатків для пристроїв Android, нагадує channel4it. Дослідники компанії Lookout визначили, що в Google Play перебували понад 500 додатків, що містять програми-бекдори для установки на пристрої користувачів шпигунського ПЗ.

В додатку із загальним числом завантажень більше 100 млн був встановлений SDK Igexin, який, зокрема, міг дізнаватися історію дзвінків і GPS-координати.