Приложение погоды Samsung — это отпечаток пальца: как сохраненные местоположения создают постоянный идентификатор отслеживания между сеансами

Анализ изучил запросы к API погоды с устройств Samsung, выявив устойчивую технику снятия отпечатков устройств. Приложение Samsung Weather использует "placeid" - 64-значную шестнадцатеричную строку - для идентификации сохраненных местоположений в запросах к API. Этот placeid в сочетании с другими данными о местоположении создает уникальный отпечаток для каждого устройства. Этот отпечаток сохраняется даже при смене IP-адресов, использовании VPN и роуминге в сети. Исследование показало высокую степень уникальности отпечатков, почти все устройства имели свой собственный отпечаток. Приложение использует жестко закодированные ключи API, позволяющие любому человеку сопоставить placeid с физическим местоположением. Кроме того, приложение избыточно передает координаты GPS вместе с placeid, предоставляя избыточные данные о местоположении. The Weather Company (IBM) получает эти запросы, создавая историческую запись, связанную с каждым отпечатком. Эта практика перекликается с предыдущими проблемами, включая судебные иски против The Weather Channel за аналогичную практику сбора данных. Снятие отпечатков на основе placeid обходит типичные средства контроля разрешений на определение местоположения. Учитывая широкое распространение устройств Samsung и активность приложения по умолчанию, это снятие отпечатков вызывает опасения по поводу конфиденциальности в больших масштабах. Поведение предустановленного приложения незаметно отслеживает местоположения пользователей.