研究报告：二十多款热门iOS应用向第三方发送用户数据

近日消息，一项新研究称，包括天气和健身追踪工具在内的二十多款iOS应用程序中包含一个代码，该代码会秘密与数据盈利公司共享用户的位置和其他信息。尽管苹果已经针对隐私和保护用户数据制定了明确的政策，但这些应用程序已在App Store上线。当使用这些应用程序时，用户可以采取一些措施来减少数据暴露的风险——或者你可以避免使用这些应用程序。

根据Sudo Security Group的GuardianApp（一个由安全研究员Will Strafach 负责的项目）的报告，一些热门iOS应用程序“使用了数据盈利公司提供的封装代码，秘密收集数千万移动用户精确的位置历史记录”。报告称，在某些情况下，这些应用程序还会被用于持续向这些公司更新GPS坐标，以便这些公司通过获取和出售客户数据牟利。

iOS平台允许用户控制哪些应用可以访问位置数据，但安全报告中涉及到的应用程序都是依靠本地天气报告以及准确的健身追踪工具来获得位置信息的。用户也许觉得授予这些应用位置权限是合理的，而不会考虑到数据盈利公司会获取这些共享数据。

为了从移动设备的GPS传感器那里获得精确数据的初始访问权限，应用程序通常会在位置服务权限对话框中提供一个与应用程序相关的合理理由，很少或根本不会提及一个事实，即出于与应用运行无关的目的，它们会将位置数据与第三方实体共享。

此页面上列出的所有位置数据盈利公司都会收集以下一个或多个数据信息：

蓝牙LE信标数据

GPS经度和纬度

WiFi SSID（网络名称）以及BSSID（网络MAC地址）

此外，一些公司还会收集以下一些不太敏感的设备信息类型：

加速度计信息（X轴、Y轴、Z轴）

广告标识符（IDFA）

电池充电百分比和状态（电池或USB充电器）

蜂窝网络MCC / MNC

蜂窝网络名称

GPS纬度和/或速度

出发/到达某个地点的时间戳

根据安全报告显示，含有追踪代码的应用涉及到24款知名APP，如GasBuddy、MyRadar NOAA、PayByPhone Parking以及跑步跟踪应用C25K 5K Trainer。每个受影响的应用程序都可以在App Store上进行下载，并且获得了数千个用户评级，足以彰显其热门程度。

GaurdianApp的研究公布了12家收集用户数据的数据盈利公司，其中包括RevealMobile，此公司之前就被指控通过热门天气应用收集用户位置数据。该报告还补充提到，大约100个区域新闻应用程序曾经使用过RevealMobile的代码，并将信息分享给这家数据盈利公司。

对于苹果来说，它一直在积极落实App Store的相关政策，以预防应用程序误导用户授予位置数据访问权限，从而与第三方共享。当应用程序在未经用户明确同意的情况下或出于未经批准的目的，将用户位置数据传输给第三方，即违反了苹果的政策。

目前，用户可以避免使用那些出于恶意目的收集用户数据的应用程序，也可以使用苹果的内置工具来控制哪些应用程序可以访问位置数据。

当被问及这份新研究报告时，苹果尚未对此进行评论。