Erwischt: AccuWeather sendet Nutzerstandort

Die populäre Wetter-App AccuWeather sendet den Standort des Benutzers (unabhängig von den Benutzereinstellungen) an die Server einer Firma. Diese Firma ist auf die Monetarisierung solcher Standortdaten spezialisiert.


Anzeige

Die meisten Nutzer von Mobilgeräten kennen wohl die App AccuWheather und setzen diese vermutlich ein. Bei iTunes wird die App sehr gut bewertet. Unter Android gibt es ähnliche Ratings im Google Play Store. Auch unter Windows ist die App verfügbar. Es gibt einen freie Version mit Werbung und eine werbefreie Bezahlversion. Der Standort des Benutzers ist relevant, wenn man eine lokale Wettervorhersage abrufen möchte. Das weckt natürlich Begehrlichkeiten.

Accu Wheather Popup(Quelle: ZDNet.com/AccuWeather)

Beim Einrichten der App erscheint wohl ein Popup (siehe oben), wo nachgefragt wird, ob der Standort abgefragt werden darf, auch wenn die App nicht im Vordergrund aktiv ist. Ich denke, jemand, der Wert auf Privatsphäre legt, wird die Option zum Blockieren der Standortabfrage wählen.

Im iTunes-Store ist AccuWeather eine der populärsten Apps mit mehreren Millionen Downloads. Allerdings gibt es aktuell in den iTunes-Bewertungen mehrere 1 Stern-Rezensionen, die auf ein Problem mit der App hinweisen:


Anzeige

OPEN YOUR EYES, PEOPLE.

by KrisaidenThis app is tracking your information at all times the moment you agree to their policies, whether you click to allow info tracking or not, and selling it to advertisers! This is a violation of both our privacy and the Apple Developer requirements. If you are to install, only do so to further this information to others!

Steals your location data! Do NOT use

by Artiste212Previously, I gave this app a great review. Now, I've removed it from my phone. Why? Because it has been revealed that this app reports your location data even when you have location service turned off for this app.

Hintergrund ist wohl, dass die App den Gerätestandort an einen Server schickt, egal, welche Benutzereinstellungen gesetzt wurden. Wie ZDNet.com hier schreibt, hat Sicherheitsforscher Will Strafach den Datenaustausch eines iPhone, auf dem die neueste Version von AccuWeather läuft, analysiert. Dabei fand er heraus, dass die App einen Server von Reveal Mobile kontaktiert, und Daten verschickt. Er gibt folgende Daten an:

  • Die genauen GPS-Koordinaten, einschließlich Geschwindigkeit und Höhe
  • Den BSSID-Namen des WLAN-Routers, der mit anderen öffentlichen Daten zur Standortbestimmung benutzt werden kann.
  • Die Information, ob das Gerät Bluetooth aktiviert hat.

ZDNet.com schreibt zudem, dass die MAC-Adresse übertragen werde. Die Daten sollen alle paar Stunden übertragen werden, auch wenn der Zugriff auf den genauen Standort verboten ist. Die Firma Reveal Mobile ist auf die Monetarisierung dieser Daten spezialisiert. Die Firma schreibt auf ihrer Webseite:

We convert mobile location signals into high value audiences. You generate more mobile revenue, with or without ads.

und präzisiert auf dieser Seite:

By expanding the use case of location data to pre- and post-shopping experiences, entirely new possibilities open up for online and offline retailers. The value lies in understanding the path of a consumer and where they go throughout the day. Traveling from home to work to retail to soccer practice to dinner is vital to knowing the customer, and represents the new opportunity of mobile location data. …

Location data also informs the home and work location of customers. Pairing this information with existing demographic targeting criteria allows retailers to target consumers with a high propensity to visit based upon two of their most relevant locations.

Der Seite lässt sich zudem entnehmen, dass wohl hunderte Apps mit der RevealMobile-Technologie bzw. den betreffenden Frameworks ausgestattet sind, um solche Daten abzugreifen und an revealmobile.com zu senden.

Das könnte noch Ärger geben, da die Federal Trade Commission FTC im August 2016 bereits einen ähnlichen Fall aufgegriffen hat (A deep dive into mobile app location privacy following the InMobi settlement). Als Benutzer würde ich die App auf jeden Fall von meinen Mobilgeräten verbannen (ich habe nachgeschaut, die App war wohl nur zum Testen auf meinen Android-Geräten).

Ergänzung: Ich habe gerade gesehen, dass heise.de gestern diesen Artikel veröffentlicht hat. In den Datenschutzbestimmungen wird die Datenweitergabe wohl erwähnt. Der Bericht des Sicherheitsforschers bezieht sich auf iOS, ob unter Android etwas ähnliches passiert, kann ich nicht beantworten. Natürlich wird behauptet, dass die Daten nur anonym weiter gegeben werden. Bei der Kommunikation ist die IP-Adresse des Geräts im Datenstrom, welche zur Identifizierung des Nutzers verwendet werden könnte.

Eine Alternative könnte möglicherweise die App WarnWetter vom Deutschen Wetterdienst sein. Die kostenlose App steht für Android, iOS und Windows 10 zur Verfügung, dürfte aber auf Deutschland begrenzt sein.

Ergänzung: AccuWeather nimmt Stellung

Die Artikel haben wohl etwas Staub aufgewirbelt. AccuWeather nimmt in diesem Pressebeitrag Stellung zum Thema. Tenor: Man hat von allem nichts gewusst und stellt temporär die Datensammlung ein. Man hat eine neue Version der App freigegeben, die den Reveal SDK-Code nicht mehr enthält. Bei heise.de gibt es diesen deutschsprachigen Artikel zum Thema.


Anzeige

Dieser Beitrag wurde unter App, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Erwischt: AccuWeather sendet Nutzerstandort

  1. Sibu sagt:

    Auf meinem Samsung Galaxy S7 gehört die App zur Grundausstattung und zeigt auf dem Hauptdisplay das augenblickliche Wetter als Widgets an (daneben die Uhrzeit). Erst wenn man auf das Symbol klickt, erfolgt eine Verbindung zu Accuweather und zB. eine Wetter-Wochen-Übersicht.

  2. Tim sagt:

    Tja, wieder blöd, aber es fehlt mal wieder das Totschlag-Argument das alle doch Geld verdienen müssen… irgendwie… und sei es nur mit Werbung…

    Datenverkauf, ob er nun Sinn macht oder nicht, gefährlich ist oder nicht, gehört halt dazu, weil es eh nur die wenigsten interessiert.

    Dies Anprangern von Diensten wird langsam albern, weil es eben scheinbar doch alle machen, auch wenn nicht alle erwischt werden. Es gibt sogar Spiele Apps die Standort Rechte haben wollen. Wozu denn bitte wohl?

    • Dekre sagt:

      Und wer braucht sowas?
      Nebenbei ist Werbung sinnfern. Bis die Leute das verstehen, geht noch einiges den Bach runter. Das ist genauso wie mit den DUDEN. Nur weil ein Wort im DUDEN steht, heiß es nicht, das man es auch benutzen soll. Es will nur, dass diese neuen sinnlosen Wörter auch einheitlich geschrieben werden und der Deutschlehrer den Schülern eine Note gegeben kann.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.