삼성 날씨 앱은 지문과 같다: 저장된 위치가 어떻게 지속적인 세션 간 추적 식별자를 생성하는가

분석 결과, 삼성 기기에서 날씨 API 요청을 조사한 결과 지속적인 기기 지문 인식 기술이 드러났습니다. 삼성 날씨 앱은 API 요청에서 저장된 위치를 식별하기 위해 64자리의 16진수 문자열인 "placeid"를 사용합니다. 이 placeid는 다른 위치 데이터와 결합되어 각 기기에 대한 고유한 지문을 생성합니다. 이 지문은 IP 변경, VPN, 네트워크 로밍에도 불구하고 지속됩니다. 연구 결과, 지문 고유성이 매우 높아 거의 모든 기기가 뚜렷한 지문을 가지고 있는 것으로 나타났습니다. 앱은 하드코딩된 API 키를 사용하여 누구든지 placeid를 실제 위치로 확인할 수 있도록 합니다. 또한, 앱은 placeid와 함께 GPS 좌표를 중복 전송하여 과도한 위치 데이터를 제공합니다. The Weather Company (IBM)은 이러한 요청을 수신하여 각 지문에 연결된 기록을 생성합니다. 이러한 관행은 The Weather Channel을 상대로 한 유사한 데이터 수집 관행에 대한 소송을 포함한 이전 문제들을 연상시킵니다. placeid 기반 지문 인식은 일반적인 위치 권한 제어를 우회합니다. 삼성의 광범위한 기기 보급과 앱의 기본 활동을 고려할 때, 이러한 지문 인식은 대규모로 개인 정보 보호 문제를 제기합니다. 사전 설치된 앱의 동작은 사용자의 위치를 조용히 추적합니다.