×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

AccuWeather wist naar eigen zeggen niet van toegang tot verzamelde locatiedata

Door , 28 reacties, submitter: JSt1983

AccuWeather heeft gereageerd op de rapportage van beveiligingsonderzoeker Will Strafach. Hij stelde dat de app locatiegegevens blijft verzamelen, ook al heeft de gebruiker dit specifiek uitgeschakeld. Volgens AccuWeather had het geen weet hiervan en is er niets gedaan met de data.

AccuWeather zegt dat niet-gebruikersgegevens, zoals de wifinetwerkinformatie, voor korte tijd beschikbaar waren bij Reveal Mobile, het bedrijf dat de gegevens volgens Strafach verzamelde. Het bedrijf achter de weer-app zegt dat het niets heeft gedaan met deze data en niet eens te hebben geweten dat het toegang had tot deze informatie. In de verklaring, die samen met Reveal Mobile is opgesteld, wordt niet gezegd of het laatstgenoemde bedrijf al dan niet iets met de informatie heeft gedaan. Wel zegt Reveal Mobile dat er geen reverse engineering van de gebruikerslocatie heeft plaatsgevonden op basis van de informatie die is verzameld, en dat dat ook niet de bedoeling was.

In de verklaring staat dat Reveal Mobile zijn software development kit gaat aanpassen en dat AccuWeather de developmentkit van Reveal Mobile in de tussentijd tijdelijk uit zijn app verwijdert, totdat deze weer in lijn is met de relevante eisen en regels. Wat precies wordt aangepast en op basis waarvan dat gebeurt, wordt niet duidelijk uit de verklaring. Als dit allemaal is doorgevoerd, worden er volgens AccuWeather in het geheel geen gegevens meer naar Reveal Mobile doorgestuurd zodra een gebruiker ervoor heeft gekozen om het delen van locatiegegevens uit te schakelen.

Gisteren meldde beveiligingsonderzoeker Will Strafach dat de iOS-app AccuWeather via het bedrijf Reveal Mobile gegevens verzamelt waarmee de locatie van de gebruiker in kaart kan worden gebracht, ook al is het verzamelen van locatiegegevens door de gebruiker uitgeschakeld. Volgens de onderzoeker wordt ook dan nog steeds data verzameld, zoals de naam van de router of de bssid. Daarmee kan alsnog de locatie worden bepaald.

Door Joris Jansen

Nieuwsredacteur

23-08-2017 • 10:49

28 Linkedin Google+

Submitter: JSt1983

Reacties (28)

Wijzig sortering
Op mij maakt dit weinig indruk, zeker als je op de site van AccuWeather door de overige persberichten bladert. Zo kondigde het bedrijf eind juni aan om samen te gaan werken met een derde partij (Comprendi) die gepersonaliseerde advertenties gaat maken voor zowel Facebook als Twitter. Om te citeren uit dat persbericht:
This new partnership is another element of the AccuWeather data strategy to allow advertisers and their agencies customize vast data including location and proprietary weather information to reach their audiences and meet campaign objectives.
Maar dat zegt toch niets. Die locatiedata kunnen ze verzamelen als je dit inschakelt, en de meeste mensen zullen dat ook doen.

Dat sluit helemaal niet uit dat AccuWeather inderdaad deze data niet wilde verzamelen op deze manier als location services waren uitgeschakeld. Dat ze die data alsnog konden krijgen vind ik ook meer een kwalijk probleem in iOS dan AW.

Dus ik vind dat persbericht helemaal niets bewijzen eigenlijk. :) Een aankondiging voor nieuwe services en bedrijfsstrategie, maar dat hoeft geen enkele toepassing te hebben op dit verhaal.
Hoeveel commerciële partners denk je dat nog geďnteresseerd zijn in samenwerken met AccuWeather nu iedere gebruiker van de app weet dat de locatie -linksom of rechtsom- wordt gedeeld en door AccuWeather als zeer belangrijk wordt gezien?

Overigens vind ik dit geen fout van iOS. Uit het persbericht blijkt duidelijk dat het de SDK is van Reveal Media die problematisch is, niet iOS.
Heel veel denk ik, want het is redelijk algemene kennis dat bijna niemand er iets om geeft, helaas, dat gegevens verzameld worden zolang de app maar fijn werkt en gratis is. AccuWeather houdt standaard je locatie bij zodat je altijd de lokale weersverwachting ziet in de widget, en dit staat in de voorwaarden, dus het zou raar zijn als nu opeens blijkt dat mensen dat niet zouden willen. Ja hier op Tweakers maar dat is niet representatief. If anything krijg je nu dus meer geinteresseerde partijen.

iOS maakt het blijkbaar mogelijk om die gegevens binnen te harken. Die third-party SDK werkt op basis van info die iOS verstrekt. Ik zie niet in waarom een app toegang tot die gegevens zou moeten hebben, zeker niet als je location services uitzet. Uiteraard kunnen ze dan nog GeoIP doen maar dat is vaak zo inaccuraat als de pest. Ik heb dus liever dat Apple dit dichttimmert, want AccuWeather zal niet de eerste, enige noch laatste zijn die dit doet om locatie restricties te omzeilen.

[Reactie gewijzigd door WhatsappHack op 23 augustus 2017 14:02]

Waarom zou Apple dit moeten dichttimmeren, voor zover dat technisch al mogelijk is? iOS biedt genoeg mogelijkheden om ongewenst gegevens te verzamelen en de crux is dat je als consument op de hoogte bent dát het gebeurt. Wat AccuWeather en Reveal Media deden was zeggen: "we verzamelen geen locatiegegevens" en het vervolgens toch doen via een omweg. Dat het per ongeluk gebeurde geloof ik geen donder van.

De enige oplossing die juist is en die Apple wél kan doorvoeren is AccuWeather voor een tijdje uit de App Store halen. Een time-out zogezegd omdat ze in strijd met de gebruiksregels van iOS en de bijbehorende API's handelen.

En wat betreft het doorgeven van de locatie: er zijn blijkbaar mensen die het opzettelijk uitzetten. Anders was dit balletje uberhaupt nooit gaan rollen.
@Ger heeft t leeuwendeel al uitgelegd. AccuWeather zegt juist wél dat ze t doen, maar t probleem is dat het blijkbaar alsnog werkt, en zij dus alsnog data kunnen verzamelen, zelfs als je de permissies in iOS ontzegt voor AccuWeather... (En naar eigen zeggen was dat niet de bedoeling.) En dát neem ik Apple kwalijk. Ik zie sowieso niet in waarom apps m’n SSID ed zouden moeten hebben... Niet blij mee dat apps daar blijkbaar bij kunnen.
Waarom zou Apple dit moeten dichttimmeren, voor zover dat technisch al mogelijk is? iOS biedt genoeg mogelijkheden om ongewenst gegevens te verzamelen
Het punt is dus dat iOS blijkbaar toestaat dat de gegevens verzameld worden terwijl de service uitgeschakeld is.

Eerlijk is eerlijk: ik heb weinig praktijkervaring met iOS maar in Android kun je al een tijd lang eenvoudig per app toestemming geven welke gegevens opgevraagd en welke handelingen uitgevoerd mogen worden. Standaard staat het gros uit en als de app iets nodig heeft krijg je een melding om toestemming te geven (of niet). Achteraf kun je dat ook weer aanpassen.

Ik mag toch aannemen dat iOS ook zo'n soort systeem heeft? Apple pronkt graag met hun veiligheid en privacy, dus ze zullen vast wel iets ingebakken hebben. En dat werkt dan dus blijkbaar niet afdoende, en dat is wat @whatsapphack bedoelt.
Het sluit het zeker niet uit, daar heb je gelijk in. Het maakt het echter wel extra verdacht.
En dus is dit persbericht niets meer dan een damage control spin zoals MrBlues hierboven ook al zei.
Dat is misschien nog wel kwalijker als het echt waar is. Waarschijnlijk meer een damage control spin van AccuWeather als ik het zo lees.
Hoe is dit kwalijker als het echt waar is? Ik heb meer problemen met een bedrijf dat me bewust misleidt om mijn locatiegegevens te krijgen dan met een bedrijf dat blijkbaar zo slordig is om niet eens door te hebben dat ze mijn locatiegegevens verzamelen. Als dat laatste waar is, hebben ze er blijkbaar ook geen belang bij of waren ze niet van plan er iets mee te doen. In het eerste geval wel.
Inderdaad. Dit is gewoon toegeven dat je incompetent bent en niet weet hoe je eigen software in elkaar zit. 8)7
Nu nog alle appjes deinstalleren waar ook de reveal mobile development kit in zit. Ik kan me niet voorstellen dat dat enkel AccuWeather is.
Mocht je een lijstje hebben dan is delen altijd fijn :) Ik zou niet weten hoe ik dit makkelijk in iOS kan achterhalen.
Dit verbaast me niet eens. Als je ziet dat veel apps tegenwoordig 100MB+ zijn, dan vraag ik me vaak af wat er allemaal in zit. Volgens mij zijn dat vaak veel libraries dit slechts gedeeltelijk worden gebruikt in de app. Het komt op mij vaak wat "lui" over (niet goed kijken wat echt nodig, maakt niet uit dat het de gebruiker meer MB opslag kost), maar het kan er dus ook toe leiden dat de libraries achtergrondtaken vervullen (die onbedoelde gevolgen hebben en leiden tot minder snelheid).
Als software ontwikkelaar kan ik zeggen dat het soms erg lastig is om daar een goede keuze in te maken. Je werkgever wil zo weinig mogelijk tijd en geld besteden aan software, als software ontwikkelaar wil je je daarom vooral richten op de core features. In dit geval is dat het weerbericht weergeven, en dat gaat nu eenmaal sneller als je er een leuke library bij pakt. Libraries zijn altijd groter dan wat je daadwerkelijk nodig hebt, maar het is handiger om 1 library te hebben die alles kan, dan voor iedere feature een losse library te zoeken. In dat laatste geval moet je zelf alles aan elkaar knopen, wat extra tijd en energie kost (en soms werkt het niet lekker samen).

Je zit dus altijd met de afweging: hoeveel tijd kost het om het zelf te bouwen vs. hoeveel kost het om een bestaande library te gebruiken. Bij zelfbouw loop je meer risico dat je uitloop hebt, en als je in de toekomst extra features nodig hebt moet je gegarandeerd weer enkele weken aan de slag. Stel dat je voor de werkgever ¤5000 per maand kost (dat is al snel, vanaf ongeveer ¤2500 loon per maand), dan is een library die eenmalig ¤5000 kost meestal goedkoper. Dat gaat alleen maar zwaarder wegen naarmate je meer features nodig hebt, want meer features betekent ook meer tijd om het zelf te bouwen...
Daarom zijn er ook tools zoals ProGuard die niet gebruikte delen strippen uit de uiteindelijke App. Bij C++ doet de linker dit voor je.
Slap excuus. Dit had je wel *moeten* weten. Als ik die app had, zou ik hem onmiddelijk deinstalleren.

Overigens denk ik ook dat Apple een mogelijkheid heeft om nog wat meer te doen, is de informatie zoals naam van het WiFi-netwerk niet buiten de sandbox van de app te houden? In principe krijg je die informatie via een API, denk ik zo?

[Reactie gewijzigd door Keypunchie op 23 augustus 2017 10:52]

Slap excuus. Dit had je wel *moeten* weten.
Er is een groot verschil tussen 'moeten' en gebeuren. Dit kan heel goed een simpele fout zijn. Je weet wel zo een die jij en ik ook wel eens maken.
Nee, sorry. Kan me niet herinneren de laatste keer dat ik een fout maakte waarbij ik lokatie-informatie van mensen 'per ongeluk' via een derde partij laat opvragen.

Maar goed, dan ben ik ook geen software-ontwikkelingsbedrijf. En fouten zijn tot daaraantoe. Dit klinkt vooral als afschuiven, in plaats van verantwoordelijkheid nemen.

[Reactie gewijzigd door Keypunchie op 23 augustus 2017 11:25]

dit komt helaas vaker voor dan je denkt.
bvb AccuWeather heeft een API/library gebruikt van een ander bedrijf om de locatie bepaling te doen.
waarom immer het warm water opnieuw uitvinden ?
maar samen met die locatie bepaling komt er nog wat andere meuk mee en neveneffecten die AC niet verwacht heeft.
in de EULA zijn ook de voorwaarden opgenomen die de APInodig heeft, maar wie leest dat nu nog ?
en net hier ligt de fout van AC, ze hadden dit wel moeten lezen en bekijken.
fout afschuiven is inderdaad verkeerd. dit hadden ze moeten weten en bekijken.
Maar meer waarschijnlijk wisten ze het wel maar was het te lastig om er iets aan te doen. en zolang er geen haan naar kraait, kan de struisvogel zijn kop in het zand steken.
Sorry hoor, maar als je zo'n populaire app hebt mag je als gebruiker verwachten dat AccuWeather genoeg onderzoek heeft gedaan bij het uitkiezen van de 3rd-party provider voor de bepaling van de locatie.

Het is trouwens raar dat AccuWeather puur alleen voor locatiebepaling Reveal Mobile gebruikt (kan ik ook niet opmaken uit het artikel), want dit kan gewoon native. Reveal Mobile is gewoon een soort Google Analytics voor locatie, dus dan mag je op zijn minst verwachten dat hier akkoord voor gevraagd moet worden alvorens deze gegevens gestuurd worden. Net zoals wij, in de EU, de cookie-wet hebben.
Nee, sorry. Kan me niet herinneren de laatste keer dat ik een fout maakte waarbij ik lokatie-informatie van mensen 'per ongeluk' via een derde partij laat opvragen.
Dat opvragen van locatie-informatie ging niet per ongeluk, maar was een normaal onderdeel van de app, die da door de gebruiker uitgeschakeld kon worden. Alleen werden er dan 'per ongeluk' nog wel andere gegevens verzameld en doorgestuurd, zoals de naam van de router of de bssid, waaruit alsnog de bij benadering de locatie te bepalen was.
Hoe 'per ongeluk' dat was blijft de vraag natuurlijk, maar het is aannemelijk dat een programmeur dacht dat hij met het uitschakelen van de GPS gegevens klaar was. Al blijft het natuurlijk slordig dat er blijkbaar niet is uitgezocht welke gegevens allemaal verzameld en doorgestuurd werden.
En ik weet niet wat ik vanochtend had als ontbijt. 8)7

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*