Nieuw privacyprobleem bij Path: app legt ongewild locatie vast

De Path-app heeft toegang tot locatiegegevens, ook als je het delen van je locatiegegevens hebt uitgeschakeld. Dit nieuwe beveiligingsprobleem

path appOp de dag dat Path een boete van 800.000 dollar moet betalen wegens privacyschending, duikt er opnieuw een beveiligingsprobleem op. De app legt de locatie vast van berichten die je op het sociale netwerk publiceert, ook wanneer je locatiediensten nadrukkelijk hebt uitgeschakeld. Dit doet de app door EXIF-informatie uit foto’s te halen, waarin onder andere GPS-coördinaten te vinden zijn. Path heeft laten weten dat ze het probleem hebben opgelost en dat er binnenkort een update van de Path-app beschikbaar komt, zodra Apple ‘m goedkeurt.

Het nieuwe privacyprobleem werd ontdekt door beveiligingsonderzoeker en hacker Jeffrey Paul. Hij publiceerde erover, onder de titel: ‘Once again, Path steals your data without permission‘. Een productmanager van Path reageerde op het bericht en geeft aan dat het bedrijf zich niet bewust was van het probleem, maar het wel meteen gaat oplossen.

Het probleem doet zich alleen voor met foto’s die je via de iPhone-camera hebt gemaakt en die je geïmporteerd hebt in Path. Foto’s die je met de camerafunctie van de Path-app maakt, bevatten geen locatiedata als je dat hebt uitgeschakeld. Eigenlijk ligt de fout daardoor ook deels bij Apple, die applicaties waarvan de locatiedata expliciet is uitgeschakeld toch nog steeds toegang geeft tot locatie-informatie in foto’s.

De timing is nogal ongelukkig, omdat gisteren net bekend werd dat Path een boete van 800.000 dollar moet betalen, vanwege een privacy-overtreding die vorig jaar plaatsvond. Toen bleek dat de sociale neterk-app de inhoud van je adresboek doorstuurde naar de servers van Path. Dat leidde tot verontwaardiging, omdat Path niet waarschuwde dat ze je adresgegevens extern opslaan en ook niet duidelijk had gemaakt wat het doel ervan was. Daarna bleken veel meer apps op dezelfde wijze te werken. Apple nam maatregelen en scherpte de privacy-instellingen in iOS 6 aan. Apps hebben nu expliciete toestemming van de gebruiker nodig om toegang te krijgen tot het adresboek.

Path was er vorige keer snel bij om een update in te dienen. Op 7 februari gaf Path toe dat er een beveiligingsprobleem was en een dag later werd al een update van de app uitgebracht. CEO Dave Morin bood zijn excuses aan. Een week later ging het balletje echt rollen: het Amerikaanse Congres stuurde een brief aan Apple waarin ze opheldering vroegen over het privacyprobleem.

Downloaden: Path (gratis, universeel, iOS 5.0+)

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt 2 februari 2013, 10:06
Categorie Sociaal netwerken
Onderwerpen path talk, privacy

Reacties zijn gesloten voor dit artikel.