AccuWeather brinda uno de los servicios meteorológicos más populares de la Web, con millones de usuarios alrededor del globo. Pero la versión de su app para iOS carga con problemas muy serios de privacidad. De acuerdo con el investigador Will Strafach, el software envía información de geolocalización, el BSSID del punto de acceso y el estado de la conectividad Bluetooth a una compañía de monetización de datos, aún si el usuario indicó lo contrario.
Cuestionar los permisos que una aplicación móvil solicita antes de su instalación es casi obligatorio en estos días. El potencial de abuso es muy grande, y los usuarios no cuentan con muchas opciones más allá de desinstalar la app, o usar un sistema operativo que permita una administración fina. Si bien entendemos que los servicios necesitan financiarse de algún modo, la falta de transparencia en la mayoría de los casos es preocupante. Eso nos lleva al último episodio, que presenta como protagonista a AccuWeather. Así es: Aunque parezca mentira, un servicio meteorológico tiene problemas de privacidad.
El investigador de seguridad Will Strafach descubrió que la versión de AccuWeather compatible con iOS recoge datos de geolocalización sin importar si el usuario prohibió dicha acción en primer lugar. Strafach indica que la información es enviada a la compañía Reveal Mobile, que básicamente se encarga de utilizar esta telemetría para diseñar campañas publicitarias. El investigador determinó que AccuWeather entró en contacto con los servidores de Reveal Mobile un total de 16 veces en un período de 36 horas. Los datos incluyen coordenadas GPS precisas (con velocidad y altitud), el nombre de la red WiFi con el BSSID del router, y el estado de la conectividad Bluetooth. Por más que el usuario bloquee el acceso GPS para AccuWeather, la app envía el resto de los datos.
La posición de la compañía es que la filtración fue provocada por un «error de configuración» en el SDK de Reveal Mobile, que los datos jamás fueron usados por la compañía, y que de hecho no estaba al tanto de su disponibilidad. Reveal Mobile se ha comprometido a actualizar su SDK en las próximas 24 horas, y AccuWeather lo deshabilitó hasta que eso suceda. Para muchos usuarios, probablemente eso no sea suficiente…