'AccuWeather-app op iOS blijft locatiedata verzamelen als dit is geblokkeerd'

Volgens beveiligingsonderzoeker Will Strafach verzamelt de iOS-app AccuWeather gegevens om de locatie van de gebruiker in kaart te kunnen brengen, ook al is het verzamelen van locatiegegevens uitgezet.

Strafach meldt dat als iOS-gebruikers hebben ingesteld dat AccuWeather geen toegang krijgt tot de gps-locatiegegevens wanneer de app niet gebruikt wordt, er toch data wordt verzameld zoals de naam van de router of de bssid. Daarmee wordt alsnog informatie doorgestuurd waarmee de locatie kan worden bepaald, zij het minder precies. Volgens de onderzoeker gaat dit verder dan de gemiddelde mate van data die andere apps verzamelen.

Als de gebruiker toestemming geeft om locatiedata te verzamelen, dan worden naast de bssid ook de exacte gps-gegevens en de status van de bluetooth-verbinding doorgestuurd. Deze gegevens worden volgens Strafach doorgestuurd naar een derde partij, een bedrijf genaamd RevealMobile. Dit bedrijf zegt op zijn eigen website dat het uitgevers en mediabedrijven helpt om maximale waarde te halen uit locatiedata.

De beveiligingsonderzoeker wijst erop dat een vergelijkbaar geval van dataverzameling, waarbij gegevens werden gedeeld zonder dat er daarvoor toestemming was van de gebruiker, in 2016 al werd onderzocht door de Amerikaanse Federal Trade Commission. Volgens Engadget is deze gang van zaken bij AccuWeather mogelijk in strijd met de ontwikkelaarsovereenkomst van Apple, waarin staat dat het gebruik van een wifinetwerk niet mag worden geanalyseerd en doorgestuurd als deze optie door de gebruiker is uitgeschakeld. Vooralsnog heeft Apple noch AccuWeather gereageerd op een verzoek om commentaar.

Deze situatie speelt niet zozeer op Android-toestellen, mits de gebruiker Android 6.0 of hoger gebruikt. Google heeft met Android 6.0 doorgevoerd dat apps specifieke gebruikerstoestemming nodig hebben voordat toegang kan worden verkregen tot de bssid van een netwerk.

Door Joris Jansen

Redacteur

Feedback • 22-08-2017 16:26 72

22-08-2017 • 16:26

72

Lees meer

'App om mensen anoniem te beoordelen stuurt contacten door' - update
'App om mensen anoniem te beoordelen stuurt contacten door' - update Nieuws van 28 augustus 2017
'Accuweather blijft ongevraagd locatiegegevens doorsturen naar adverteerders'
'Accuweather blijft ongevraagd locatiegegevens doorsturen naar adverteerders' Nieuws van 26 augustus 2017
AccuWeather wist naar eigen zeggen niet van toegang tot verzamelde locatiedata
AccuWeather wist naar eigen zeggen niet van toegang tot verzamelde locatiedata Nieuws van 23 augustus 2017
App voor gratis toegang tot Facebook, Google en weerbericht komt online
App voor gratis toegang tot Facebook, Google en weerbericht komt online Nieuws van 31 juli 2014
Meer producten en artikelen
Privacy Apple iOS Apps

Reacties (72)

-Moderatie-faq
72
67
26
2
0
30
Wijzig sortering

Sorteer op:

Weergave:
Adion 22 augustus 2017 16:53
Als een weersapp je locatie niet kent, is dan niet het eerste wat je doet de naam van je gemeente ingeven?
(Oftewel, wat is nu precies het privacyrisico?)
PepijnK @Adion22 augustus 2017 17:22
Een gemeentenaam is al een stuk minder precies dan een GPS coordinaat. Even nog buiten het feit dat als je in bijvoorbeeld Weurt of Bemmel woont, je gemakkelijk Nijmegen kan opgeven als gemeentenaam. Wat dan dus nog minder accuraat is dan een GPS coordinaat.

Ik kan in f.lux mijn locatie instellen op verschillende manieren. Voor mijn doeleinden met die app is het meer dan voldoende dat die app weet dat ik op 52N6E ben. Niet dat die locatie binnen 30km ligt van waar ik echt ben, maar dat doet er niet toe voor de app.

Wat mij betreft zijn er maar 2 apps op een telefoon die echt toegang tot exacte GPS locatie nodig hebben. Dat is je navigatie en je "find my phone" gebeuren. FB hoeft niet te weten waar ik ben, WA hoeft dat niet te weten, een weer app heeft echt gewoon genoeg aan een algemene locatie binnen een tiental kilometers.

Dat hele gedoe met sneaky BSSID etc opvragen en proberen om dat te koppelen aan een locatie dmv datamining is wat mij betreft sowieso al een schending van privacy. Het is gewoon niets meer dan een sneaky trucje om zo de GPS permissies te omzeilen.
YangWenli @PepijnK22 augustus 2017 18:08
Yep. Het zal de meeste mensen niet boeien maar ik wil zélf uit maken welke en wanneer gegevens verzonden worden.

Anders is dat hele permission gedoe een placebo. U heeft nee gezegd maar we doen het lekker toch :>
nelisc @PepijnK22 augustus 2017 19:16
Idee naar aanleiding van je comment: Een extra setting bij de locatieinstellingen per app waarbij je instelt hoe 'grof' een app de locatie mag zien. Hierbij kan de aarde als grid (ja, ik weet dat de aarde rond is) worden opgedeeld.

<appname> mag gebruikmaken van:
  • De exacte locatie
  • De locatie met nauwkeurigheid van 5km
  • De locatie met nauwkeurigheid van 25km
  • De locatie met nauwkeurigheid van 100km
  • Mag geen gebruik maken van locatie
Naar de supermarkt gaan betekent dan dat ik niet ben bewogen, of dat ik bijvoorbeeld 25km ben verplaatst. Dag datamining voor apps die het niet nodig hebben :w
WhatsappHack
@Adion22 augustus 2017 17:03
Hij kan bijhouden waar je bent en waar je naartoe reist en wanneer, en kijkt dus niet enkel naar wat je zelf instelt als locatie.
Verwijderd @WhatsappHack22 augustus 2017 17:21
Kan ik allemaal gewoon invoeren. Hebben ze me locatie gegevens niet voor nodig.
WhatsappHack
@Verwijderd22 augustus 2017 18:28
Ja prima, maar daar gaat t artikel niet over.
Nathan13877 @Adion22 augustus 2017 17:19
Van mijn gemeente maak ik geen geheim, maar ik heb liever niet dat iedereen de locaties van mijn huis, opleiding, sport etc. kan zien.
aval0ne @Nathan1387722 augustus 2017 17:58
Waaruit leid je af dat iedereen de locaties kan zien?
mgizmo @Adion22 augustus 2017 17:00
correleren
jeantje 22 augustus 2017 16:32
Ik hoop toch dat Apple hier fel tegen optreed!

Zou goed zijn voor de bescherming van zijn gebruikers.
jeffhuys @jeantje22 augustus 2017 17:13
Sinds iOS 11 is het niet meer mogelijk om MAC adressen, SSIDs of Manufacturers uit te lezen vanuit een app. Zie deze blogpost van een bekende network scanner app.

Dus ja, ze treden er tegen op! :)
Verwijderd @jeffhuys22 augustus 2017 21:55
Ha, thanks. Ik vroeg me al af waarom mijn netwerkscanner het niet meer deed op de nieuwe iPad. Hij gaf aan dat alle apparaten zich op 1 IP bevonden.
Euronitwit @jeffhuys22 augustus 2017 18:37
[qoute] iOS 11 is de grote update voor het besturingssysteem van de iPhone, iPad en iPod touch die in de herfst van 2017 uitkomt.
bron: https://www.iphoned.nl/ios-versies/ios-11/

Dus op alle huidige toestellen wordt het nog steeds gedaan.
Lekker optreden is dat. |:(
BikkelZ @Euronitwit22 augustus 2017 20:45
Deze situatie speelt niet zozeer op Android-toestellen, mits de gebruiker Android 6.0 of hoger gebruikt.
Lullig genoeg heeft over drie maanden heeft een hoger percentage van de iOS-gebruikers deze fix dan Android gebruikers. Nog geen 50% draait 6 of hoger en dat percentage wijzigt niet zo snel. iOS heeft >80% op een nieuwe versie na een maand.

Het had een "security update" moeten zijn had Google echt gevonden dat het een belangrijk lek was.

[Reactie gewijzigd door BikkelZ op 24 juli 2024 11:59]

Verwijderd @Euronitwit22 augustus 2017 18:56
Beta kan je al installeren...
jeffhuys @biteMark23 augustus 2017 19:03
Hoe kort is jouw attention-span? iPhones.
johnkeates 22 augustus 2017 16:34
Zucht. Het enige wat dit gaat bereiken is dat er nog minder data beschikbaar is voor apps, en alleen maar om dat een of ander kneuzenbedrijfje geld wil verdienen met BSSID's enz.

Straks moeten we bij het ontwikkelen van een app permissies opvragen om het scherm te mogen gebruiken om dat een of andere idioot een manier vind om daar data mee te scrapen en verkopen..

[Reactie gewijzigd door johnkeates op 24 juli 2024 11:59]

Splorky @johnkeates22 augustus 2017 16:52
Helaas is het niet zo beperkt dat het een enkel bedrijfje is, het is een grijs gebied waar alles verzameld mag worden als telemetrie met het idee van dienst/product verbetering.

Bij microsoft kun je telemetrie niet uit zetten (via een simpele GUI dan)
Tv's sturen naar de fabrikant door wat de file namen zijn van de video's die je via DLNA bekijkt.
Willekeurige zaklamp applicaties willen GPS gegevens uit lezen.
Dat accuweather nu locatie gegevens via een omweg toch wil hebben is niet schokkend. (verbonden WIFI AP gebruikt google ook voor locatie bepaling)

Moraal kompas is vaak van slag qua data mining, maar nu ze juridisch een foutje maken door het ontbreken / overtreden van kleine lettertjes (die geen normale end user leest) levert ze opeens negatieve aandacht op?

en graag, permissie toestemming (met instelling dat de gebruiker standaard alles goed keurt, per install of per gebruik goedkeuring kan geven per item) voor wifi, gps, microfoon, camera, data, sms ver/gebruik, notificaties, zodat een zaklamp alleen offline de camera verlichting kan gebruiken.
Croga @Splorky22 augustus 2017 17:33
Bij microsoft kun je telemetrie niet uit zetten (via een simpele GUI dan)
Druk op "Start", type "Privacy" en start "Privacy settings".
Je krijgt nu een compleet overzicht van alle telemetrie die verzamelt kan worden en overal de optie om die uit te zetten.
Easy as pie.
Als je dat geen simpele GUI vindt dan weet ik het ook niet meer hoor.
Blokker_1999
@Croga22 augustus 2017 17:44
Er blijft een minimale hoeveelheid aan data verstuurd worden. Deze data is evenwel anoniem en dient enkel voor analyse van ernstige problemen van het OS.
WickyW @Croga22 augustus 2017 17:45
Onder 'Feedback en Diagnose' kan je anders alleen maar 'Basis' selecteren, waarbij toch meer data naar Microsoft gaat dan je misschien zou willen.

Lijst van verzamelde gegevens (Bron:Microsoft) :https://docs.microsoft.co...gnostic-events-and-fields
t_o_c @johnkeates22 augustus 2017 16:56
En dat is alleen maar goed.

Ik zie totaal niet in waarom ontwikkelaars perse allerlei zouden mogen verzamelen. De meeste apps willen een hele waslijst aan rechten die helemaal niet nodig zijn voor het goed functioneren van een app.

Leuk voor ontwikkelaars dan ze met het minen van data extra kunnen verdienen maar slecht voor de gebruikers.
BikkelZ @johnkeates22 augustus 2017 17:11
Tja er werd voorheen ook doodleuk door bedrijven als LinkedIn de inhoud van het complete adresboek geupload als eerste daad nog voordat je je account aangemaakt had. Ik heb deze implementatie nog gezien in een applicatie die ik onderhouden heb. Dus nu hebben we een API waarbij alles buiten de applicatie om gebeurt en je alleen specifiek contacten krijgt die de gebruiker uitzoekt.

Waarom denk je dat bedrijven met een prima mobiele website en helemaal geen specifieke features die een telefoon vereisen de hele dag op sites lopen te hijgen of je alsjeblieft tóch de mobiele app wil gebruiken?
z1rconium @johnkeates22 augustus 2017 17:21
Uhh jij zegt tegen een app, "nee ik wil niet dat je op de achtergrond data gaat lopen verzamelen" - app doet het toch door een loophole, vind jij prima ?

Het bedrijf heeft ook gereageerd en gaat door het stof (zie comments). Volgend jaar zijn ze met GDPR gewoon failliet met 1 zo'n grapje.
Hercolubus 22 augustus 2017 16:29
Adios Accuweather - Verwijderd !
234FaTaLiTy @Hercolubus22 augustus 2017 16:47
Als de hele massa dit nou zou doen op het moment dat er zoiets bekend wordt, zijn we zo van dit hele probleem af...
Verwijderd @234FaTaLiTy22 augustus 2017 17:15
Laten we dat dan ook doen. Anders zullen ze niet stoppen met proberen de consument te naaien met oneerlijke zaken.
Verwijderd @Verwijderd22 augustus 2017 18:43
Sorry, kan niet met jullie hierin meegaan, ik heb geen mobiel.
Als ik ergens een hekel aan heb, is het wel, als iedereen wilt weten, waar ik ben :)
Verwijderd @Nerot1x22 augustus 2017 22:57
Ik denk, dat mensen met een mobiel, geïsoleerder leven dan ik, als ik zo om me heen kijk.
Verwijderd @Hercolubus23 augustus 2017 11:52
Weet iemand een goed alternatief? Ik vind die Buienradar app echt troep werken en vond AccuWeather juist perfect met simpele "in X minuten gaat het regenen"

Ik vind het niet erg om te betalen.
funrider @Verwijderd23 augustus 2017 13:26
In Nederland zijn de apps met een minute by minute regenradar functie helaas wat beperkter.
De opties die er zijn en mij bekend zijn naast de Buienradar app:
* Buienalarm (inclusief fijne widget)
* Regenmelding
* Weeronline
* WeatherPro
* Het Weer in Nederland

Fijne buitenlandse apps met een minute by minute regen (radar) die ook in NL werken:
* RainToday
* Weather Underground

Hier overigens nog een eerder lijstje van mij die ik eerder op het MacRumors forum heb geplaatst waarbij een aantal erg fijne weer apps staan inclusief uitgebreide widgets.

* BeWeather2 (super app en widget, veel aan te passen, helaas minute by minute werkt nog niet in NL)
* Partly Sunny (prachtige widget, erg aan te passen, helaas minute by minute werkt nog niet in NL)
* widget weather (werkt ook zonder GPS gebruik en offline, verschilllende weer bronnen te kiezen)
* Today Weather (verschilllende weer bronnen te kiezen)
* Weather Line (werkt ook zonder GPS gebruik)

[Reactie gewijzigd door funrider op 24 juli 2024 11:59]

Verwijderd @funrider25 augustus 2017 23:06
Bedankt! Ik zal ze uitproberen. Veel van de lijst heb ik nog nooit van gehoord dus erg handig.
GeforceAA 22 augustus 2017 16:39
Deze situatie speelt niet zozeer op Android-toestellen, aangezien Google met Android 6.0 heeft doorgevoerd dat apps specifieke gebruikerstoestemming nodig hebben voordat er toegang kan worden verkregen tot het bssid van een netwerk.
Hoe weet je dat? Meer dan de helft zit op pre-6.0.
w0nnapl4y @GeforceAA22 augustus 2017 17:58
Ik wilde gaan zeggen dat het bullshit is wat jij zegt, maar toen ging ik zoeken en tot mijn eigen verbazing heb je waarschijnlijk gelijk..
https://www.statista.com/...-devices-with-android-os/

Echter is er inderdaad wel sinds Android 6.0 een gescheiden structuur van permissions. Dat wil zeggen, je kan een app per permissie wel of niet toegang geven. Zo geef ik bijvoorbeeld 9/10 applicaties die 'contacts' of 'location' willen inzien, geen toegang tot datgene. Waarna de app vervolgens nog prima werkt.

Hoe weet je zeker dat er hier geen 'loopholes' worden gebruikt? Dat weet je inderdaad niet zeker, echter wordt het sinds 6.0 verdomd lastiger gemaakt (zoals dat met iOS11 ook gaat gebeuren).
Verwijderd @w0nnapl4y22 augustus 2017 18:33
Per app permissies voor locatie, contacten enzovoort bestaan al veel langer op iOS dan op Androïd.
Het gaat hier dan ook om het afleiden van locatie uit een gegeven over een router - iets wat inderdaad in iOS11 ook onmogelijk zal worden gemaakt door dit soort gegevens niet langer beschikbaar te maken voor apps - het zal blijkbaar ook geen deel uitmaken van een specifieke permissie.
Pinkys Brain 22 augustus 2017 19:28
Even gekeken op de weather app/widget op mijn Samsung s7, voorgeïnstalleerd en van accuweather. De permission om netwerk data op te vragen is verstopt achter "all permissions" en niet uit te schakelen. Kan de app ook niet disablen ... leuk is dat.

Ik kan iets basic als de Google app disablen maar deze lojack shit niet?

[Reactie gewijzigd door Pinkys Brain op 24 juli 2024 11:59]

jpsch 22 augustus 2017 16:30
Daar gaan we weer.
SinergyX 22 augustus 2017 16:42
Deze situatie speelt niet zozeer op Android-toestellen, aangezien Google met Android 6.0 heeft doorgevoerd dat apps specifieke gebruikerstoestemming nodig hebben voordat er toegang kan worden verkregen tot het bssid van een netwerk.
Is dat niet een geval van 'accepteer je niet, dan werkt hij niet', zoals die waslijst aan dingen waar een app toegang toe wil hebben wij het installeren ervan?
Verwijderd @SinergyX22 augustus 2017 16:46
Nee, vanaf Android 6 niet meer. Als de app voor Android 6 gemaakt is zal Android met de vraag komen of hij toegang mag hebben tot die data, voor oudere apps staat het standaard aan maar kun je het handmatig uitzetten. Gewoonlijk werkt de app dan nog wel.
SinergyX @Verwijderd22 augustus 2017 16:56
Ah ok, dat staat dus los van die installatie-voorwaarden? Ik weet bij WM je na installatie nog appart toegang moet geven tot bv locatie (en zelfs als je 'ja' zegt, zet je gewoon locatie dienst uit), die je vervolgens nog apart weer aan/uit kan zetten. Soortgelijke werkt dus ook bij Android 6?
Verwijderd @SinergyX22 augustus 2017 17:03
Ja, dat gaat in de instellingen. Locatiediensten zijn een apart iets, die kun je ook nog eens apart voor het hele toestel uitzetten. Maar toegang tot bv. contacten, sms en media kun je per app dichtzetten. Internet dan weer niet, tenzij je root of een lokale vpn draait.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 11:59]

Aaargh! @SinergyX22 augustus 2017 16:46
Als je het niet accepteert kan je helemaal niet installeren.
DNA_Saint @Aaargh!23 augustus 2017 09:07
Niet waar. Als een app op de nieuwe manier gebouwd is, zal Android een mockup gebruiken voor datgene wat jij hebt geweigerd.
Dus als jij locatie/GPS niet hebt geaccepteerd, zal android zelf een mock gps coördinaat geven aan de app.
Aaargh! @DNA_Saint23 augustus 2017 13:10
Dat is pas vanaf Android 6, die het iOS model voor permissies heeft overgenomen, daarvoor was het alles-of-niets. De manier waarop het geïmplementeerd is is wel weer super knullig, maar goed.
DNA_Saint @SinergyX23 augustus 2017 09:12
Ligt een beetje aan de app.
Bij 6.0 wordt volgens mij wanneer je bijv. GPS weigert, door Android een mock gps coördinaat verstuurd naar de app. En als je bijvoorbeeld jouw gallery niet toestaat voor de app, krijgt de app een mock gallery van android zelf.
Verwijderd 22 augustus 2017 17:52
Nee, een app op een smartphone vol met sensoren die je privacy schendt.

Je bent wat je koopt.
RobinJ1995 22 augustus 2017 20:34
Die rot-app blijft op Android ook constant op de achtergrond draaien en direct weer opstarten als je hem killt om locatiegegevens door te spelen. Weer zo 1 van die apps die meer dingen ongevraagd doet dan wanneer het wel wenselijk is.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq