La aplicación AccuWeather en iOS está rastreando la ubicación del usuario incluso cuando está desactivada

Se ha descubierto que una de las aplicaciones meteorológicas más populares en el Apple App Store con millones de descargas, AccuWeather, está accediendo a los datos de localización del usuario sin el permiso explícito del usuario y la está enviando a una empresa de monetización de datos de terceros.

Como señaló el investigador de seguridad Will Strafach, AccuWeather pide al usuario que permita que la aplicación acceda a la ubicación del dispositivo incluso cuando no se esté utilizando la aplicación para obtener actualizaciones más rápidamente y reducir el tiempo de lanzamiento de la aplicación.

Pero si un usuario concede este permiso de ubicación, Strafach descubre que la aplicación comienza a enviar algunos bits y piezas de información a revealmobile(.com) .

Esta información incluye las coordenadas GPS, la velocidad actual y la altitud; el nombre y el BSSID del router WiFi actualmente conectado al dispositivo y si el dispositivo tiene Bluetooth activado o desactivado.

Lea también : ¿Cansado de los sitios web que husmean en su ubicación? He aquí cómo detenerlos

Strafach interceptó los datos de su iPhone y descubrió que durante un período de 36 horas, la aplicación AccuWeather -que funcionaba en segundo plano- enviaba la información mencionada a RevealMobile cada pocas horas, lo que representaba un total de 16 veces los datos transmitidos.

Según el sitio web de RevealMobile, «convierten las señales de localización móvil en audiencias de alto valor». Esto ayuda a las empresas asociadas con RevealMobile a generar más ingresos con o sin anuncios.

Fuente: Will Strafach | Medio

«Los datos de ubicación también informan la ubicación del hogar y del trabajo de los clientes. La combinación de esta información con los criterios demográficos existentes permite a los minoristas dirigirse a los consumidores con una alta propensión a las visitas basándose en dos de sus ubicaciones más relevantes», dice el sitio web de RevealMobile.

Esto significa que la aplicación AccuWeather estaba transmitiendo activamente sus datos de localización al sitio web, que a su vez estaba monetizando los datos proporcionándolos a las partes interesadas como minoristas y anunciantes.

«Escuchamos los datos lat/longos y cuando un dispositivo choca con una baliza Bluetooth», añade el sitio web.

Además, AccuWeather no es un caso aislado. El sitio web de RevealMobile también afirma estar ejecutando su servicio en cientos de aplicaciones móviles en todo Estados Unidos.

También lea : Aquí está cómo evitar que Uber rastree su ubicación

Otra aplicación meteorológica que mostró patrones similares de transmisión de datos a RevealMobile es: Aplicación de pronóstico meteorológico de Frank de KPRC 2.

La aplicación AccuWeather o RevealMobile pueden no tener intenciones maliciosas, pero la forma en que están obteniendo información del usuario – sin su consentimiento y conocimiento explícito – parece ser incorrecta.

Según un informe de ZDNet, tanto AccuWeather como RevealMobile actualizarán sus aplicaciones y servicios después de esta revelación.

Update : «Si un usuario opta por no seguir la localización en AccuWeather, no se recopilan ni se pasan las coordenadas del GPS sin el permiso del usuario», dijeron AccuWeather y RevealMobile a Tecnotuto.

En la declaración conjunta a Tecnotuto, las compañías revelaron que la información de la red Wi-Fi «que no es información del usuario» estaba disponible en el SDK de Reveal por un corto período, pero AccuWeather no tenía conocimiento de tales datos y en ningún momento los utilizó para ningún propósito.

«Reconocemos que este es un campo que evoluciona rápidamente y que lo que es la mejor práctica un día puede cambiar al siguiente.Para evitar más malentendidos, Reveal está actualizando su SDK y lanzando nuevas versiones del SDK en las próximas 24 horas, con la actualización del iOS esta noche».

Después de la actualización, no se transmitirá ningún dato a RevealMobile una vez que el usuario opte por no compartir la ubicación. AccuWeather afirma haber desactivado el SDK hasta que se actualice.

«El SDK podría ser malinterpretado, y aseguran que nunca se llevó a cabo una ingeniería inversa de las ubicaciones a partir de la información que recopilaron, ni tampoco fue esa la intención», declaró Reveal.

El SDK se actualizará una vez que haya sido actualizado y las empresas también editarán su Contrato de licencia de usuario final para aumentar la transparencia para los usuarios.

Actualización 2 (24 de agosto) : AccuWeather ha actualizado su aplicación para iOS y ha eliminado completamente RevealMobile.

«La aplicación de AccuWeather empleó un kit de desarrollo de software (SDK) de un proveedor externo (Reveal Mobile) que permitió inadvertidamente que los datos del router Wi-Fi se transmitieran a este proveedor externo. En ningún momento AccuWeather accedió a estos datos o los utilizó y hemos recibido garantías del proveedor de que lo mismo es cierto para ellos», dijo AccuWeather a Tecnotuto.

Última actualización el 8 de febrero de 2018

Deja un comentario