×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'AccuWeather-app op iOS blijft locatiedata verzamelen als dit is geblokkeerd'

Door , 72 reacties

Volgens beveiligingsonderzoeker Will Strafach verzamelt de iOS-app AccuWeather gegevens om de locatie van de gebruiker in kaart te kunnen brengen, ook al is het verzamelen van locatiegegevens uitgezet.

Strafach meldt dat als iOS-gebruikers hebben ingesteld dat AccuWeather geen toegang krijgt tot de gps-locatiegegevens wanneer de app niet gebruikt wordt, er toch data wordt verzameld zoals de naam van de router of de bssid. Daarmee wordt alsnog informatie doorgestuurd waarmee de locatie kan worden bepaald, zij het minder precies. Volgens de onderzoeker gaat dit verder dan de gemiddelde mate van data die andere apps verzamelen.

Als de gebruiker toestemming geeft om locatiedata te verzamelen, dan worden naast de bssid ook de exacte gps-gegevens en de status van de bluetooth-verbinding doorgestuurd. Deze gegevens worden volgens Strafach doorgestuurd naar een derde partij, een bedrijf genaamd RevealMobile. Dit bedrijf zegt op zijn eigen website dat het uitgevers en mediabedrijven helpt om maximale waarde te halen uit locatiedata.

De beveiligingsonderzoeker wijst erop dat een vergelijkbaar geval van dataverzameling, waarbij gegevens werden gedeeld zonder dat er daarvoor toestemming was van de gebruiker, in 2016 al werd onderzocht door de Amerikaanse Federal Trade Commission. Volgens Engadget is deze gang van zaken bij AccuWeather mogelijk in strijd met de ontwikkelaarsovereenkomst van Apple, waarin staat dat het gebruik van een wifinetwerk niet mag worden geanalyseerd en doorgestuurd als deze optie door de gebruiker is uitgeschakeld. Vooralsnog heeft Apple noch AccuWeather gereageerd op een verzoek om commentaar.

Deze situatie speelt niet zozeer op Android-toestellen, mits de gebruiker Android 6.0 of hoger gebruikt. Google heeft met Android 6.0 doorgevoerd dat apps specifieke gebruikerstoestemming nodig hebben voordat toegang kan worden verkregen tot de bssid van een netwerk.

Door Joris Jansen

Nieuwsredacteur

22-08-2017 • 16:26

72 Linkedin Google+

Reacties (72)

Wijzig sortering
Als een weersapp je locatie niet kent, is dan niet het eerste wat je doet de naam van je gemeente ingeven?
(Oftewel, wat is nu precies het privacyrisico?)
Een gemeentenaam is al een stuk minder precies dan een GPS coordinaat. Even nog buiten het feit dat als je in bijvoorbeeld Weurt of Bemmel woont, je gemakkelijk Nijmegen kan opgeven als gemeentenaam. Wat dan dus nog minder accuraat is dan een GPS coordinaat.

Ik kan in f.lux mijn locatie instellen op verschillende manieren. Voor mijn doeleinden met die app is het meer dan voldoende dat die app weet dat ik op 52N6E ben. Niet dat die locatie binnen 30km ligt van waar ik echt ben, maar dat doet er niet toe voor de app.

Wat mij betreft zijn er maar 2 apps op een telefoon die echt toegang tot exacte GPS locatie nodig hebben. Dat is je navigatie en je "find my phone" gebeuren. FB hoeft niet te weten waar ik ben, WA hoeft dat niet te weten, een weer app heeft echt gewoon genoeg aan een algemene locatie binnen een tiental kilometers.

Dat hele gedoe met sneaky BSSID etc opvragen en proberen om dat te koppelen aan een locatie dmv datamining is wat mij betreft sowieso al een schending van privacy. Het is gewoon niets meer dan een sneaky trucje om zo de GPS permissies te omzeilen.
Yep. Het zal de meeste mensen niet boeien maar ik wil zÚlf uit maken welke en wanneer gegevens verzonden worden.

Anders is dat hele permission gedoe een placebo. U heeft nee gezegd maar we doen het lekker toch :>
Idee naar aanleiding van je comment: Een extra setting bij de locatieinstellingen per app waarbij je instelt hoe 'grof' een app de locatie mag zien. Hierbij kan de aarde als grid (ja, ik weet dat de aarde rond is) worden opgedeeld.

<appname> mag gebruikmaken van:
  • De exacte locatie
  • De locatie met nauwkeurigheid van 5km
  • De locatie met nauwkeurigheid van 25km
  • De locatie met nauwkeurigheid van 100km
  • Mag geen gebruik maken van locatie
Naar de supermarkt gaan betekent dan dat ik niet ben bewogen, of dat ik bijvoorbeeld 25km ben verplaatst. Dag datamining voor apps die het niet nodig hebben :w
Hij kan bijhouden waar je bent en waar je naartoe reist en wanneer, en kijkt dus niet enkel naar wat je zelf instelt als locatie.
Kan ik allemaal gewoon invoeren. Hebben ze me locatie gegevens niet voor nodig.
Ja prima, maar daar gaat t artikel niet over.
Van mijn gemeente maak ik geen geheim, maar ik heb liever niet dat iedereen de locaties van mijn huis, opleiding, sport etc. kan zien.
Waaruit leid je af dat iedereen de locaties kan zien?
Ik hoop toch dat Apple hier fel tegen optreed!

Zou goed zijn voor de bescherming van zijn gebruikers.
Sinds iOS 11 is het niet meer mogelijk om MAC adressen, SSIDs of Manufacturers uit te lezen vanuit een app. Zie deze blogpost van een bekende network scanner app.

Dus ja, ze treden er tegen op! :)
Ha, thanks. Ik vroeg me al af waarom mijn netwerkscanner het niet meer deed op de nieuwe iPad. Hij gaf aan dat alle apparaten zich op 1 IP bevonden.
[qoute] iOS 11 is de grote update voor het besturingssysteem van de iPhone, iPad en iPod touch die in de herfst van 2017 uitkomt.
bron: https://www.iphoned.nl/ios-versies/ios-11/

Dus op alle huidige toestellen wordt het nog steeds gedaan.
Lekker optreden is dat. |:(
Deze situatie speelt niet zozeer op Android-toestellen, mits de gebruiker Android 6.0 of hoger gebruikt.
Lullig genoeg heeft over drie maanden heeft een hoger percentage van de iOS-gebruikers deze fix dan Android gebruikers. Nog geen 50% draait 6 of hoger en dat percentage wijzigt niet zo snel. iOS heeft >80% op een nieuwe versie na een maand.

Het had een "security update" moeten zijn had Google echt gevonden dat het een belangrijk lek was.

[Reactie gewijzigd door BikkelZ op 22 augustus 2017 20:46]

Beta kan je al installeren...
Hoe kort is jouw attention-span? iPhones.
Zucht. Het enige wat dit gaat bereiken is dat er nog minder data beschikbaar is voor apps, en alleen maar om dat een of ander kneuzenbedrijfje geld wil verdienen met BSSID's enz.

Straks moeten we bij het ontwikkelen van een app permissies opvragen om het scherm te mogen gebruiken om dat een of andere idioot een manier vind om daar data mee te scrapen en verkopen..

[Reactie gewijzigd door johnkeates op 22 augustus 2017 16:34]

Helaas is het niet zo beperkt dat het een enkel bedrijfje is, het is een grijs gebied waar alles verzameld mag worden als telemetrie met het idee van dienst/product verbetering.

Bij microsoft kun je telemetrie niet uit zetten (via een simpele GUI dan)
Tv's sturen naar de fabrikant door wat de file namen zijn van de video's die je via DLNA bekijkt.
Willekeurige zaklamp applicaties willen GPS gegevens uit lezen.
Dat accuweather nu locatie gegevens via een omweg toch wil hebben is niet schokkend. (verbonden WIFI AP gebruikt google ook voor locatie bepaling)

Moraal kompas is vaak van slag qua data mining, maar nu ze juridisch een foutje maken door het ontbreken / overtreden van kleine lettertjes (die geen normale end user leest) levert ze opeens negatieve aandacht op?

en graag, permissie toestemming (met instelling dat de gebruiker standaard alles goed keurt, per install of per gebruik goedkeuring kan geven per item) voor wifi, gps, microfoon, camera, data, sms ver/gebruik, notificaties, zodat een zaklamp alleen offline de camera verlichting kan gebruiken.
Bij microsoft kun je telemetrie niet uit zetten (via een simpele GUI dan)
Druk op "Start", type "Privacy" en start "Privacy settings".
Je krijgt nu een compleet overzicht van alle telemetrie die verzamelt kan worden en overal de optie om die uit te zetten.
Easy as pie.
Als je dat geen simpele GUI vindt dan weet ik het ook niet meer hoor.
Er blijft een minimale hoeveelheid aan data verstuurd worden. Deze data is evenwel anoniem en dient enkel voor analyse van ernstige problemen van het OS.
Onder 'Feedback en Diagnose' kan je anders alleen maar 'Basis' selecteren, waarbij toch meer data naar Microsoft gaat dan je misschien zou willen.

Lijst van verzamelde gegevens (Bron:Microsoft) :https://docs.microsoft.co...gnostic-events-and-fields
En dat is alleen maar goed.

Ik zie totaal niet in waarom ontwikkelaars perse allerlei zouden mogen verzamelen. De meeste apps willen een hele waslijst aan rechten die helemaal niet nodig zijn voor het goed functioneren van een app.

Leuk voor ontwikkelaars dan ze met het minen van data extra kunnen verdienen maar slecht voor de gebruikers.
Tja er werd voorheen ook doodleuk door bedrijven als LinkedIn de inhoud van het complete adresboek geupload als eerste daad nog voordat je je account aangemaakt had. Ik heb deze implementatie nog gezien in een applicatie die ik onderhouden heb. Dus nu hebben we een API waarbij alles buiten de applicatie om gebeurt en je alleen specifiek contacten krijgt die de gebruiker uitzoekt.

Waarom denk je dat bedrijven met een prima mobiele website en helemaal geen specifieke features die een telefoon vereisen de hele dag op sites lopen te hijgen of je alsjeblieft tˇch de mobiele app wil gebruiken?
Uhh jij zegt tegen een app, "nee ik wil niet dat je op de achtergrond data gaat lopen verzamelen" - app doet het toch door een loophole, vind jij prima ?

Het bedrijf heeft ook gereageerd en gaat door het stof (zie comments). Volgend jaar zijn ze met GDPR gewoon failliet met 1 zo'n grapje.
Adios Accuweather - Verwijderd !
Als de hele massa dit nou zou doen op het moment dat er zoiets bekend wordt, zijn we zo van dit hele probleem af...
Laten we dat dan ook doen. Anders zullen ze niet stoppen met proberen de consument te naaien met oneerlijke zaken.
Sorry, kan niet met jullie hierin meegaan, ik heb geen mobiel.
Als ik ergens een hekel aan heb, is het wel, als iedereen wilt weten, waar ik ben :)
Ik denk, dat mensen met een mobiel, ge´soleerder leven dan ik, als ik zo om me heen kijk.
Weet iemand een goed alternatief? Ik vind die Buienradar app echt troep werken en vond AccuWeather juist perfect met simpele "in X minuten gaat het regenen"

Ik vind het niet erg om te betalen.
In Nederland zijn de apps met een minute by minute regenradar functie helaas wat beperkter.
De opties die er zijn en mij bekend zijn naast de Buienradar app:
* Buienalarm (inclusief fijne widget)
* Regenmelding
* Weeronline
* WeatherPro
* Het Weer in Nederland

Fijne buitenlandse apps met een minute by minute regen (radar) die ook in NL werken:
* RainToday
* Weather Underground

Hier overigens nog een eerder lijstje van mij die ik eerder op het MacRumors forum heb geplaatst waarbij een aantal erg fijne weer apps staan inclusief uitgebreide widgets.

* BeWeather2 (super app en widget, veel aan te passen, helaas minute by minute werkt nog niet in NL)
* Partly Sunny (prachtige widget, erg aan te passen, helaas minute by minute werkt nog niet in NL)
* widget weather (werkt ook zonder GPS gebruik en offline, verschilllende weer bronnen te kiezen)
* Today Weather (verschilllende weer bronnen te kiezen)
* Weather Line (werkt ook zonder GPS gebruik)

[Reactie gewijzigd door funrider op 23 augustus 2017 13:27]

Bedankt! Ik zal ze uitproberen. Veel van de lijst heb ik nog nooit van gehoord dus erg handig.
Deze situatie speelt niet zozeer op Android-toestellen, aangezien Google met Android 6.0 heeft doorgevoerd dat apps specifieke gebruikerstoestemming nodig hebben voordat er toegang kan worden verkregen tot het bssid van een netwerk.
Hoe weet je dat? Meer dan de helft zit op pre-6.0.
Ik wilde gaan zeggen dat het bullshit is wat jij zegt, maar toen ging ik zoeken en tot mijn eigen verbazing heb je waarschijnlijk gelijk..
https://www.statista.com/...-devices-with-android-os/

Echter is er inderdaad wel sinds Android 6.0 een gescheiden structuur van permissions. Dat wil zeggen, je kan een app per permissie wel of niet toegang geven. Zo geef ik bijvoorbeeld 9/10 applicaties die 'contacts' of 'location' willen inzien, geen toegang tot datgene. Waarna de app vervolgens nog prima werkt.

Hoe weet je zeker dat er hier geen 'loopholes' worden gebruikt? Dat weet je inderdaad niet zeker, echter wordt het sinds 6.0 verdomd lastiger gemaakt (zoals dat met iOS11 ook gaat gebeuren).
Per app permissies voor locatie, contacten enzovoort bestaan al veel langer op iOS dan op Andro´d.
Het gaat hier dan ook om het afleiden van locatie uit een gegeven over een router - iets wat inderdaad in iOS11 ook onmogelijk zal worden gemaakt door dit soort gegevens niet langer beschikbaar te maken voor apps - het zal blijkbaar ook geen deel uitmaken van een specifieke permissie.
Even gekeken op de weather app/widget op mijn Samsung s7, voorge´nstalleerd en van accuweather. De permission om netwerk data op te vragen is verstopt achter "all permissions" en niet uit te schakelen. Kan de app ook niet disablen ... leuk is dat.

Ik kan iets basic als de Google app disablen maar deze lojack shit niet?

[Reactie gewijzigd door Pinkys Brain op 22 augustus 2017 19:59]

Daar gaan we weer.
Deze situatie speelt niet zozeer op Android-toestellen, aangezien Google met Android 6.0 heeft doorgevoerd dat apps specifieke gebruikerstoestemming nodig hebben voordat er toegang kan worden verkregen tot het bssid van een netwerk.
Is dat niet een geval van 'accepteer je niet, dan werkt hij niet', zoals die waslijst aan dingen waar een app toegang toe wil hebben wij het installeren ervan?
Nee, vanaf Android 6 niet meer. Als de app voor Android 6 gemaakt is zal Android met de vraag komen of hij toegang mag hebben tot die data, voor oudere apps staat het standaard aan maar kun je het handmatig uitzetten. Gewoonlijk werkt de app dan nog wel.
Ah ok, dat staat dus los van die installatie-voorwaarden? Ik weet bij WM je na installatie nog appart toegang moet geven tot bv locatie (en zelfs als je 'ja' zegt, zet je gewoon locatie dienst uit), die je vervolgens nog apart weer aan/uit kan zetten. Soortgelijke werkt dus ook bij Android 6?
Ja, dat gaat in de instellingen. Locatiediensten zijn een apart iets, die kun je ook nog eens apart voor het hele toestel uitzetten. Maar toegang tot bv. contacten, sms en media kun je per app dichtzetten. Internet dan weer niet, tenzij je root of een lokale vpn draait.

[Reactie gewijzigd door Morgan4321 op 22 augustus 2017 17:03]

Als je het niet accepteert kan je helemaal niet installeren.
Niet waar. Als een app op de nieuwe manier gebouwd is, zal Android een mockup gebruiken voor datgene wat jij hebt geweigerd.
Dus als jij locatie/GPS niet hebt geaccepteerd, zal android zelf een mock gps co÷rdinaat geven aan de app.
Dat is pas vanaf Android 6, die het iOS model voor permissies heeft overgenomen, daarvoor was het alles-of-niets. De manier waarop het ge´mplementeerd is is wel weer super knullig, maar goed.
Ligt een beetje aan de app.
Bij 6.0 wordt volgens mij wanneer je bijv. GPS weigert, door Android een mock gps co÷rdinaat verstuurd naar de app. En als je bijvoorbeeld jouw gallery niet toestaat voor de app, krijgt de app een mock gallery van android zelf.
Nee, een app op een smartphone vol met sensoren die je privacy schendt.

Je bent wat je koopt.
Die rot-app blijft op Android ook constant op de achtergrond draaien en direct weer opstarten als je hem killt om locatiegegevens door te spelen. Weer zo 1 van die apps die meer dingen ongevraagd doet dan wanneer het wel wenselijk is.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*