Havebin

Ipad

AccuWeather iOSアプリはアクセスを拒否されても位置情報を送信し、ユーザーを誤解させるc

Havebin
qlamk
0 Comments
AccuWeather iOSアプリはアクセスを拒否されても位置情報を送信し、ユーザーを誤解させるc
AccuWeather iOSアプリはアクセスを拒否されても位置情報を送信し、ユーザーを誤解させるc
アキュウェザー

更新 #2:AccuWeatherはReveal Mobileとの共同声明を発表しました。声明文より:

実際の情報とは関係のない情報源からの反対の話にもかかわらず、ユーザーがAccuWeatherでの位置追跡をオプトアウトした場合、ユーザーからの追加のオプトイン許可なしにGPS座標が収集または渡されることはありません。

ユーザー情報ではないWi-Fiネットワーク情報などのその他のデータは、Reveal SDKで短期間利用可能でしたが、AccuWeatherでは利用されませんでした。実際、AccuWeatherはこれらのデータが利用可能であることを知りませんでした。したがって、AccuWeatherはこれらのデータをいかなる目的にも使用しませんでした。

更新: Reveal Mobile は 、Strafach の監査に応じて9to5Macに次の声明を発表しました。

位置情報サービスの利用をオプトアウトした場合、データ信号の出所に関わらず、デバイスの位置情報をリバースエンジニアリングで特定することはありません。現在のSDKの動作を検証した結果、それが誤解を招く可能性があることがわかりました。これを受けて、本日SDKの新バージョンをリリースします。このバージョンでは、位置情報の共有をオプトアウトした際に、位置情報の推測に使用できるデータポイントを送信しなくなります。

iOS版AccuWeatherがAppleの開発者契約およびユーザーの信頼を侵害している可能性があることが、新たなセキュリティ監査で明らかになりました。セキュリティ研究者のウィル・ストラファック氏は、iOS版天気アプリが位置情報の共有を拒否している場合でも、ユーザーとデバイスの識別可能な情報をサードパーティ企業に送信している可能性があることを発見しました。

長年にわたり、無料モバイルアプリにおけるユーザーデータの収集は、ある意味当然のこととなってきました。ユーザーデータを収集し、それを販売することで、企業は資金を調達し、無料アプリを提供することができます。問題は、これらのアプリがどのようなデータをどのように収集しているかを適切に開示していない場合に生じます。

ストラファッチ氏の調査によると、AccuWeatherはサードパーティ企業のSDKを通じてデータを収集していることが判明しました。Reveal Mobileが提供するこのSDKは、「アプリパブリッシャーやメディア企業が位置情報データから最大限の価値を引き出せるように支援する」手段として宣伝されています。ユーザーがAccuWeatherをダウンロードし、位置情報データの使用を許可すると、知らないうちに以下の情報もReveal Mobileに共有されることになります。

  • デバイスの正確なGPS座標
  • 接続しているWi-Fiネットワークの名前
  • Bluetoothが有効かどうか

もちろん、このデータ収集の多くは AccuWeather のプライバシー ポリシーの対象となります。

名前、住所、および/または電子メール アドレスなどの個人を特定できる情報 (総称して「個人を特定できる情報」または「PII」) の提供を求められる場合があります。

郵便番号や出身国など、PII とはみなされない情報の入力を求められる場合があります。

このポリシーは、技術的には、ユーザーがアプリケーションをダウンロードし、位置情報の共有に同意した状況を対象としています。ユーザーは、個人を特定できる情報を共有するかどうかは任意であると認識する必要があります。

ストラファッチ氏が発見した状況の二面性は、ユーザーが iOSの位置情報共有リクエストを拒否した場合でも、Reveal Mobileは依然として個人を特定できる可能性のある情報を受け取る可能性があるという点です。具体的には、Reveal MobileはユーザーのWi-FiネットワークSSIDを把握し、Bluetoothビーコンを使って位置情報を追跡できるようになります。

iOSの位置情報共有リクエストプロンプトでユーザーが位置情報の共有を拒否した場合、 位置情報は一切共有されない ことが期待されます。AccuWeatherの最新バージョン10.5.2では、ユーザーが位置情報の共有を拒否しても、知らないうちに位置情報が共有される可能性があります。

位置情報データを拒否することで、AccuWeather のプライバシー ポリシーに従って、位置データが引き続き追跡される可能性があることをユーザーに明示的に認識させる必要があります。

Reveal Mobileは、このデータ収集を利用してユーザーインタラクションをマッピングし、いわゆる「高価値オーディエンス」を作り出すことができます。ここで問題となるのは、このユーザーデータがどの程度匿名化されているかということです。Strafach氏が指摘するように、「別の企業によるこの行為は、以前FTCの注目を集めていたようです。」

画像: AccuWeather

Apple のニュースをもっと知りたい場合は、YouTube の 9to5Mac をご覧ください。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。

Havebin

Havebin

This author has no bio yet.

You May Also Like