Quelques heures après avoir écopé d'une amende de 800 000 $ pour avoir téléchargé les carnets d’adresses de ses utilisateurs sans leur consentement, Path fait face à un nouveau problème de traitement des données privées. Le chercheur en sécurité Jeffrey Paul a en effet découvert que l’application téléchargeait les données de localisation de vos photos même si vous avez désactivé la localisation pour Path.
Ce problème se présente uniquement si l’utilisateur importe une photo depuis la pellicule d’iOS dans Path. S’il prend une photo depuis Path en ayant coupé la localisation, les restrictions d’iOS s’appliquent et la localisation ne peut être exploitée. Mais dans le cas de l’importation, l’application lit les données EXIF intégrées aux photos et relève les données de localisation, court-circuitant ainsi le système de permissions d’iOS.
À la décharge de Path, il s’agit là d’un problème du système, qui ne devrait pas permettre ce contournement, et d’un problème qu’Apple doit régler. Mais il s’agit tout de même de la troisième affaire du genre pour ce réseau social, qui fait montre d’une conduite assez légère avec les données privées de ses utilisateurs.
Dans une réponse adressée au chercheur, Path admet en effet qu’elle ne savait même pas qu’elle récoltait ces données. Une mise à jour de l’application qui ne lit pas les données EXIF de localisation a été soumise à l’App Store. De son côté, Apple sait désormais que ce problème existe dans iOS : Path comme Paul l’ont averti.
Le dernier problème de confidentialité posé par Path avait poussé Apple à considérablement renforcer les mécanismes de protection d’iOS et d’OS X.
[Via TNW]
