Okrypterat

AccuWeather är en mycket populär väder app. AccuWeathers sida på PlayStore butiken skryter med att ha över 50 miljoner nedladdningar – och det är nöjda kunder: appen har fått ett genomsnittspoängtal på 4.4 av 5. Men den här veckan var det inte riktigt fullt så många som var nöjda med nyheterna kring appen.

AccuWeather låter användaren välja när man vill dela platsinformation. Man får alltså frågan: vill du tillåta appen att få din platsdata (alltså att använda telefonens GPS för att veta var du befinner dig) även då när du inte använder själva appen. Men Säkerhetsforskaren Will Strafach har luskat ut att man nog fritt får förbjuda AccuWeather från att få ens platsdata – men AccuWeather roffar åt sig platsdatat oberoende!

AccuWeather frågar lov – men tar din platsdata oberoende av vad du svarar. (Bild: Strafach i Medium.com)

Strafach publicerade nyheten förra måndagen i Medium och dagen därpå intervjuades han av om fallet av Zack Whittaker för online tidningen ZDNet.

Vad händer det riktigt, alltså?

Kort och gott: efter att ha tagit en närmare titt på informationen som AccuWeather delar med sig (skickar till en server) kunde Strafach konstatera att appen är designad att kringgå användares önskemål om sekretess gällande platsdata.

Har man ställt in AccuWeather att inte få använda platsdata då appen inte är i bruk så gör AccuWeather istället så här: med några timmars mellanrum skickar den WiFi routerns namn och MAC address (en nummerserie vilken är unik för varje dator eller manick) till företaget Reveal Mobiles server. Det datat kan användas för att etablera var användaren befinner sig – t.o.m. på några meters noggrannhet.

(Var beskrivningen för teknisk så är den förenklade versionen: de struntar i vad ni kommit överens om och skickar platsinformationen oberoende.) Reveal Mobile är ett företag som specialiserar sig på att tjäna pengar på (eng. monetize) data, som just t.ex. platsinformation. Den informationen kan sedan utnyttjas t.ex. i marknadsföringssyfte, tex. för att avgöra vilka reklamer man ska få se (likt informationen som sparas av dina Google sökningar).

Reveal Mobile

Reveal Mobile fick så pass hett om öronen efter att nyheten släppts att de gav ett eget uttalande om fallet. I uttalandet verkar de vilja säga att de inte alls gjort det som de påståtts göra. Men deras nekanden smakar mera som retorisk dans än som klara uttalanden mot kritiken. Här är några plock:

Reveal Mobile does not currently, nor has it ever, stored any information from devices that opt-out of data sharing.

While technically it is possible to use IP and WiFI to approximate a device’s location even if opted-out of data sharing, Reveal Mobile did not share, store or utilize this data in any way for devices that were opted-out of location sharing.

Man sku tycka att det inte borde vara så svårt – om man inte gjort något – att säga ”vi har inte gjort det”. Men inte en enda mening i Reveal Mobiles utlåtande är utan konstigt specifika ordföljder och/eller kvalificeringar.

Nåh, det hela blir möjligtvis irrelevant snart: det konstaterades i ZDNet intervjun att AccuWeather appen håller på att uppdateras så att den inte längre ska skicka platsinformation då när man specifikt sagt att den inte ska skicka platsinformation.

Vad lär vi oss av det hela? Åtminstone det, att det är bra att komma ihåg att ens telefon noggrannt kan estimera – och dela med sig av – var man befinner sig, även om man inte har GPS funktionen i bruk. (Tidigare liknande fall inkluderar t.ex. Uber, Google och Apple.)