Ringa, den Amazon.com Inc.-ägda tillverkaren av högteknologiska dörrklockor och hemsäkerhetskameror, marknadsför sig som skydd från världen utanför användarnas hem. Men dess app samlar in data från användarnas telefoner och delar den informationen med flera spårare från tredje part, en rapport från Electronic Frontier Foundation avslöjade denna vecka.
Informationen innehåller användarnas fullständiga namn, mejladresser, IP-adresser, mobilnätoperatörer och data om sensorer installerade i telefonen, enligt gruppen för medborgerliga friheter, vars arbete fokuserar på integritet och andra digitala rättigheter.
EFF sa att det analyserade webbtrafik i Rings app för Android -enheter och fann att företaget distribuerar kunddata främst till fyra analys- och marknadsföringsföretag:Facebook, Gren, AppsFlyer och Mixpanel. Google-ägda Crashlytics tar också emot data från Ring, enligt rapporten.
"Kunder bör verkligen titta noga och se, 'Är det här något jag litar på? Denna övervakningsenhet som kan användas för att övervaka mina grannar övervakar mig faktiskt nu, ", sa William Budington, en säkerhetsingenjör och teknolog på EFF.
Ring sa i ett uttalande att det tillåter tredje parter att endast använda uppgifterna för "lämpliga ändamål".
Rings integritetspolicy noterar att företaget använder tredjepartsanalystjänster och deltar i "annonsnätverk" som gör det möjligt för det att rikta meddelanden genom att samla in information "med automatiserade medel, inklusive genom användning av cookies, webbserverloggar, webbfyrar och andra liknande tekniker."
Men bara ett av de tredjepartsföretag som EFF identifierade, Mixpanel, namnges i Rings lista över tredjepartsanalystjänster.
AppsFlyer, ett mobilt marknadsanalysföretag, samlar in information om användaråtgärder inom Ring -appen och om kalibreringsinställningar och sensorer installerade på enheten.
"Bara att ha informationen om vilka sensorer din telefon har är ganska djupgående, ", sa EFF:s Budington. "Det är oroande på grund av detaljnivån och insikten om din enhets egenskaper. Ett spårningsföretag kan sy ihop och skapa ett fingeravtryck av din enhet – en sammanhållen helhet om hur din enhet ser ut."
Det krävs inte mycket för att fingeravtrycka en enhet, sa Eric Goldman, en professor vid Santa Clara University School of Law som är meddirektör för skolans High Tech Law Institute.
"Till exempel, om du kan se alla appar på en persons enhet, som ensam kan vara unik för alla andra i universum, Goldman sa. "Vi har förmodligen alla konfigurerat våra appar olika."
Att sammanföra en del av de data som Ring ger kan visa, hypotetiskt, att du öppnade ett spel, eller att du gick med i en Wi-Fi-hotspot i ditt hem, Sa Budington. Ju mer information som samlas in, desto bättre kan ett företag sätta ihop en bild av vad du gör i ditt digitala liv.
"Som många företag, Ring använder tredjepartsleverantörer för att utvärdera användningen av vår mobilapp, som hjälper oss att förbättra funktioner, optimera kundupplevelsen, och utvärdera effektiviteten av vår marknadsföring, " sa en talesperson för Ring i ett uttalande. "Ring säkerställer att tjänsteleverantörers användning av den tillhandahållna informationen är avtalsenligt begränsad till lämpliga ändamål som att utföra dessa tjänster för vår räkning och inte för andra ändamål."
Ring sa att den använder MixPanel för att rikta meddelanden i appen när den lanserar nya funktioner. I allmänhet kan företaget samla in och avslöja personlig information-till exempel när användare interagerar med appen eller deras Ring-enheter-till tredje parts tjänster för att spåra prestanda för olika funktioner, sa företaget.
Budington noterade att Ring inte nödvändigtvis bryter mot sin egen integritetspolicy. Men han sa att Rings integritetspolicy är för bred och vag och att det är oroande att även företagets lista över tredjepartstjänster inte är korrekt.
Goldman sa att det är oklart varför Branch eller Facebook skulle behöva information från Ring för att hjälpa till med analyser eller rikta in annonser.
Grenens talesperson Alex Austin sa att företaget tillhandahåller en tjänst som fixar mobillänkar som tar användare till rätt sida. "För att utföra denna tjänst för Ring och många andra, vi måste bearbeta en del data inifrån appen men var extremt försiktig när vi hanterar den, " sa Austin i ett mejl. Enligt företagets användardatapolicy, Branch samlar in enhetsdata som reklamidentifierare, IP-adress, och cookies men samlar inte in eller lagrar information som namn, e-post eller fysiska adresser.
Andra företag som nämns i EFF:s rapport svarade inte omedelbart på förfrågningar om kommentarer.
Den nya California Consumer Privacy Act, som staten kommer att börja tillämpa i juli, skulle kunna hjälpa till att reglera denna typ av aktivitet av Ring, sa Goldman. Beroende på hur åklagarmyndigheten tolkar lagen, det kan tvinga företaget att avslöja mer om de tredje parter som piggyback av dess data.
Statens lag "kommer att förändra ekosystemet. Jag är inte säker på hur mycket, men det är tydligt att förändringar kommer, sa Goldman.
Amazon förvärvade Ring 2018, och kameraföretaget för dörrklockan har mött avsevärd granskning och kritik under de senaste månaderna för integritetsfrågor kring sina avtal med brottsbekämpande myndigheter och kring hacks och intrång som äventyrade Ringägares videoflöden.
Förra månaden fick en hackare tillgång till en Ring-kamera i en 8-årig flickas rum i Mississippi och använde den för att trakassera henne. Ett par i Texas vaknade av att en hacker sa via sin Ring-kamera att de skulle "bli uppsagda" om de inte betalade en lösensumma på 50 bitcoin. Ring har tidigare sagt att dessa incidenter "inte på något sätt är relaterade till ett intrång eller kompromiss med Rings säkerhet" och noterade att skadliga aktörer kan få kontouppgifter (särskilt när människor återanvänder användarnamn och lösenord) från externa, icke-ringtjänster.
En moderkortsrapport förra månaden beskrev några slappa säkerhetsrutiner av Ring, som att tillåta flera inloggningar från olika platser och IP-adresser utan att informera ägarna, vilket gör det enkelt för hackare att vända företagets kameror mot sina kunder.
Sen. Edward J. Markey (D-Mass.) kritiserade företaget hårt i november för att ha gjort avtal med brottsbekämpande myndigheter som kunde utsätta kunder och deras grannar för "invasiva eller till och med diskriminerande informationsinsamlingsmetoder" av polisen. Amazons högsta maskinhandläggare har sagt att han är stolt över programmet och att partnerskap med polisavdelningar är bra för stadsdelar.
I mitten av december, inloggningsuppgifterna för mer än 3, 600 innehavare av ringkonton ska ha brutits. Företaget säger att dessa överträdelser inte var ett resultat av brister i det egna systemet. Incidenterna och andra har lett till rättegångar, inklusive en grupptalan som lämnades in i december i federal domstol i Los Angeles.
Ring berättade för lagstiftare i början av januari att de sparkat arbetare under de senaste åren för att de på felaktigt sätt kommit åt användarnas videodata. Enligt Verge, företaget sa att det skulle lägga till en ny sekretesspanel till sina mobilappar som låter användare hantera sina anslutna enheter, tredjepartstjänster, och polisen begär att få tillgång till video från sina enheter.
Minst en Amazon-arbetare har sagt att företaget borde stänga av Ring helt, hävdar att integritetsfrågorna "inte är förenliga med ett fritt samhälle".
"Sekretessfrågorna går inte att lösa med reglering och det finns ingen balans som kan hittas, ", skrev mjukvaruutvecklingsingenjör Max Eliaser. "Ring bör stängas av omedelbart och inte återställas." Hans kommentar var en del av en mängd anställdas kritik av Amazon, publicerad i söndags i strid med företagets regler som begränsar när arbetstagare kan uttala sig.
©2020 Los Angeles Times
Distribueras av Tribune Content Agency, LLC.
