Популярний погодний додаток виявився шпигуном
Популярний iOS-додаток про погоду AccuWeather збирав дані про користувачів і передавав їх компанії Reveal Mobile, яка займається монетизацією інформації про місцезнаходження.
Це з'ясував дослідник безпеки Уїлл Страфах, передає TechCranch.
"Передача даних здійснювалася навіть у тих випадках, коли додаток не отримував на це згоди. Спеціаліст з'ясував, що за 36 годин спостережень AccuWeather відправив інформацію в Reveal Mobile загалом 16 разів", - йдеться у публікації.
Додаток збирав наступні дані: точні GPS-координати користувача пристрою; ім'я та ідентифікатор базового набору послуг (BSSID) мережі Wi-Fi, в якій використовується пристрій; статус персональної мережі Bluetooth (увімкнено/вимкнено).
За даними про місцезнаходження користувача Reveal Mobile могла відслідковувати його звичайну поведінку – наприклад, те, де він обідає, які відвідує магазини. Такі відомості у поєднанні з демографічними показниками становлять цінну інформацію для підприємств сфери торгівлі і послуг, які можуть на її основі робити фокусні рекламні пропозиції мобільним користувачам.
У спільній заяві AccuWeather і Reveal Mobile сказано, що дані про місцезнаходження не збираються і не передаються без додаткового дозволу користувачів. Компанії запевняють, що інформація про Wi-Fi не відноситься до користувацької, але визнають, що деякий час вона була доступна SDK Reveal.
Щоб уникнути непорозумінь, компанії прийняли рішення виключити даний комплект розробки з iOS-версією AccuWeather, доки він не буде оновлений. Компанія Reveal Mobile припускає, що код SDK міг бути спотворений. Розробники запевняють, що ніколи не займалися зворотним проектуванням даних про місцезнаходження користувачів, і навіть не мали такого наміру.
Наприкінці серпня шпигунський характер був виявлений у ряді додатків для пристроїв Android, нагадує channel4it. Дослідники компанії Lookout визначили, що в Google Play перебували понад 500 додатків, що містять програми-бекдори для установки на пристрої користувачів шпигунського ПЗ.
В додатку із загальним числом завантажень більше 100 млн був встановлений SDK Igexin, який, зокрема, міг дізнаватися історію дзвінків і GPS-координати.