人気の天気アプリ「AccuWeather」のiOS版が、ユーザーの位置情報データをサードパーティーのデータマネタイズ企業に送信していることが発覚した。ユーザーが位置情報の共有をオフにしている場合でさえも、データを送信していたという。



「AccuWeather」アプリに位置情報へのアクセスを許可するか否かを尋ねるメッセージ

提供：supplied 「AccuWeather」アプリに位置情報へのアクセスを許可するか否かを尋ねるメッセージ提供：supplied

AccuWeatherは、Appleのアプリストアで満点に近い星4個の評価を獲得し、大量にダウンロードされている、同ストアでとりわけ人気の高い天気アプリだ。しかし、ユーザーから明示的な許可を得ることなく、ユーザーの非公開の位置情報をマネタイズ企業に送信するアプリだとは説明されていない。

セキュリティ研究者のWill Strafach氏が、最新版のAccuWeatherを実行している「iPhone」とそのサーバから出ているトラフィックを傍受したところ、同アプリはWi-Fiルータ名とBSSID（通常はアクセスポイントのMACアドレス）をデータマネタイズ企業のReveal Mobileに数時間おきに送信していた。こうした挙動は、iPhoneの正確な位置情報へのアクセスを同アプリに許可していない場合も確認されたという。このデータは、公開データと関連づけることで、ユーザーが使うデバイスのおおよその位置を明らかにできる。

この発見を米ZDNetが独自に検証したところ、Wi-FiルータのMACアドレスと公開データのみから、ニューヨークの米ZDNetのオフィスにあり、AccuWeatherを実行しているiPhoneの座標を、わずか数メートルの範囲で特定できた。



提供：Image mashup: ZDNet; Mylnikov GEO 提供：Image mashup: ZDNet; Mylnikov GEO

位置情報が有効になっていると、速度と高度を含めた正確なGPS座標が先ほどのデータ企業に戻される。

ここでReveal Mobileの出番だ。このデータ企業自体は広告主ではないが、広告主へのデータ提供に協力している。

Reveal Mobileに関しては、同社の幹部らが先週、米ZDNetの電話取材に応じ、Wi-FiデータとMACアドレスの情報については確かに収集しているが、位置データは「利用していない」と述べた。

Reveal Mobileの最高経営責任者（CEO）を務めるBrian Handley氏は、「どの情報も匿名化されており、われわれは個々のデバイスをトラッキングしているわけではない」と述べた。ただし説明によると、同社は、たとえばStarbucksの店にいるユーザーにピンポイントで広告を配信できる状況にあるという。