這十款流行的iOS應用，正與第三方「共享」用戶位置數據！

【獵雲網（微信號：ilieyun）】9月10日報道（編譯：Halcyon）

近日，多位安全研究人員爆料稱，數十款時下流行的iPhone應用程序正在悄悄地與第三方數據貨幣公司共享「數萬台移動設備」的位置數據。

目前，幾乎所有的應用程序都需要用戶提供位置數據的訪問許可權才能正常工作，如天氣和健身應用程序，但共享這些數據通常是免費下載應用創造收入的一種方式。

參與GuardianApp項目的安全研究人員表示，在很多情況下，應用程序不論何時何地都在發送精確的位置和其他敏感、可識別的數據，但幾乎從未提及位置數據將與第三方共享的事。

研究人員威爾·斯特拉法赫（Will Strafach）稱：「我相信大多數人都希望能夠安心地使用應用程序，不必擔心授予敏感數據的訪問許可權後個人信息會被悄悄發給第三方，這些三方公司用戶往往對其並不了解，甚至沒有與其合作的意願。

藉助工具監控網路流量，研究人員發現，24個流行的iPhone應用正在收集位置數據——比如藍牙信標到Wi-Fi網路名稱——以了解某人所在的位置以及他們去了哪裡。這些數據貨幣化公司還從加速器、電池充電狀態以及蜂窩網路名稱中收集其他設備的數據。

作為交換，數據公司通常會付錢給程序開發人員，讓其收取數據並擴充資料庫，還經常根據用戶個人的位置歷史記錄來投放廣告。

Strafach表示，雖然很多應用製造商聲稱不會收集用戶的身份信息，但經緯度坐標足以明確標示出某人的住宅或工作地點。

舉幾個例子：

ASKfm是一款針對青少年設計的匿名問答應用，在蘋果的App Store上擁有1400條評論，用戶數量達千萬。它要求訪問用戶的位置並表示不會與任何人共享，但私下卻將位置信息發送給兩家數據公司AreaMetrics和Huq。這件事情被爆出後，該應用程序製造商卻對外稱收集用戶的位置數據「符合行業標準，所以用戶是可以接受的。」

NOAA Weather Radar的評論超過26.6萬條，下載量達百萬。該應用向用戶要求位置的訪問許可權，稱是「用於提供天氣信息」。但今年3月份，該應用的舊版本被發現將位置數據發送給三家公司Factual、Sense360和Teemo。目前該代碼已被刪除。NOAA Weather Radar程序開發團隊Apalon發言人表示，今年初，公司「與其中一些供應商合作進行了有限、簡短的測試」。

Homes.com是一款十分受歡迎的應用，它要求用戶打開位置共享以幫助「查找附近的房子。」但這段被認為是舊代碼的代碼仍然在向AreaMetrics發送精確的坐標。此應用製造商表示去年與AreaMetrics進行了「非常短期」的合作，並稱該代碼已停用。

Perfect365是一款基於雲服務的AR美容應用，在全球擁有超1億客戶，其訪問位置數據的理由是「根據您的位置和更多內容可以提供更具針對性的定製化體驗」，並向用戶推送更多隱私條款——其中確實有提到用戶位置數據將用於廣告。今年初，外媒BuzzFeed News就對此有過相關報道，隨後該應用被強制下架，但持續時間並不長，沒過多久，Perfect365又重新在應用商店上架了。該應用當前版本涵蓋8家獨立數據貨幣化公司的代碼。到目前為止，該應用開發團隊還未對此作出任何回應。

涉及共享位置數據的應用名單還在不斷更新中——其中包括了一百多個Sinclair擁有的本地新聞和天氣應用，這些應用將位置信息共享給數據跟蹤和貨幣化公司Reveal，這家數據公司稱，通過給廣告商提供目標受眾信息，可以很好地幫助媒體巨頭提高銷售額。

對於時下流行應用的開發商和貨幣化公司來說，這可是巨大的商機，利潤絕對豐厚，其中有一些公司一天下來能收集到數十億個位置數據。

當然，沒有人會輕易承認自己的問題，大多數數據貨幣化公司否認自己有不當行為，並宣稱用戶隨時可以選擇關閉位置訪問許可權。大部分公司表示，他們事前就與應用程序開發商明確聲明必須在程序界面上清楚明了地告知用戶其個人數據正在被收集並將共享給第三方公司。

GuardianApp的研究表明，這些要求幾乎從未得到證實。

Reveal表示，它要求用戶「查看其隱私條款中說明位置數據的使用案例」，且用戶可以隨時選擇退出。跟Reveal一樣，Huq表示會對合作的應用程序進行定期檢查，以確保應用開發團隊向用戶明確解釋公司的服務。AreaMetrics主要從咖啡店和零售商店等公共區域收集藍牙信標數據，聲稱對用戶的個人數據「沒興趣」。

Sense360表示，收集的數據都是匿名的，且需要應用程序獲得用戶的明確授權，但Strafach稱，他所見過的app中，很少包含尋求用戶保證的文本。對於為什麼某些應用程序中沒有這類文本，該公司並沒有作出具體回應。Wireless Registry表示，公司還要求應用程序徵得用戶的同意，但不願就其用於確保用戶隱私的安全措施置評。inMarket回應稱，公司遵循廣告標準和指南。

Cuebiq聲稱使用「先進的加密方法」來存儲和傳輸數據，但Strafach說，他沒有發現任何數據被加密的證據。Cuebiq還表示其並不是一個「數據追蹤器」，雖然市場上也會有某些應用開發團隊希望通過用戶數據獲利，但據說大多數公司還只是藉助數據更好地為用戶提供服務。Factual還表示，它會使用位置數據進行廣告和分析，但必須在應用內獲得用戶的授權。

Teemo、SafeGraph、Mobiquity和Fysical均未回復置評請求。

Strafach表示：「這些公司似乎都不打算對其所作所為負法律責任，相反，它們聲稱要執行某種自我監管。」

Strafach說到，就現在的情況來看，用戶能做的並不多，不過可以在iPhone的隱私設置中限制廣告跟蹤，這樣一來，定位跟蹤器想要識別用戶就沒那麼容易了。

蘋果下個月開始將大力打擊那些沒有隱私條款的應用程序。但考慮到一開始很少有人會關注、閱讀這些條款，不能指望應用程序在短時間內就會作出改變。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！