И пользователь никак не может узнать об этом
Автор: Зак Уиттакер
Многие крупные компании, такие как Air Canada, Hollister и Expedia, записывают каждое действие пользователя в своих приложениях для iPhone. В большинстве случаев вы даже не знаете об этом. И они не спрашивают вашего разрешения на подобные действия.
Хорошо известно, что большинство приложений собирают данные о вас. Некоторые даже монетизируют их без вашего ведома. Но TechCrunch нашел несколько популярных приложений для iPhone — отели, туристические компании, авиакомпании, операторы сотовой связи, банки, финансовые организации — которые никак не ставят вас в известность насколько полной информацией об использовании вами их приложения они обладают.
Хуже того, хотя в этих приложениях предусмотрена маскировка определенных полей, некоторые непреднамеренно оставляют возможность доступа к конфиденциальным данным.
В таких приложениях, как Abercrombie&Fitch, Hotels.com и Singapore Airlines, используется разработка Glassbox, аналитической компании, которая позволяет разработчикам встраивать технологию «воспроизведения сеанса» в свои программы. Она даёт возможность разработчикам записывать экран и воспроизводить запись, чтобы увидеть, как пользователи взаимодействовали с приложением. Каждое касание, нажатие кнопки и печать на клавиатуре записывается — и отправляется разработчикам.
Или, как заявляли Glassbox в своем последнем твите: «Представьте, что ваш сайт или мобильное приложение может точно узнать, что ваши клиенты делают в реальном времени, и почему?».
Блог App Analyst, который пишет о популярных приложениях, недавно обнаружил, что приложение Air Canada для iPhone неправильно маскирует данные сеансов при отправке, делая доступными номера паспортов и данные кредитных карт в каждом сеансе. Всего несколько недель назад Air Canada заявляла, что в ее приложении произошла утечка данных 20 000 профилей.
«Это позволяет сотрудникам Air Canada и всем, кто может получить доступ к базе просматривать информацию о кредитной карте и пароле в нешифрованном виде» — отметили авторы блога в комментарии для TechCrunch.
Мы попросили App Analyst взглянуть на примеры приложений, которые Glassbox разместил на своем веб-сайте в качестве клиентов. Используя инструмент Charles Proxy, используемый для перехвата данных, посылаемых каждым приложением, исследователь мог проверить, какие данные пересылает устройство.
Не каждое приложение отсылало замаскированные данные; но ни в одном из рассмотренных нами приложений не было указано, что они записывают пользовательский экран, не говоря уже об отправке их обратно в компанию или непосредственно в облако Glassbox.
Это может быть проблемой, если кто-либо из клиентов Glassbox неправильно зашифрует данные, отметил App Analyst в электронном письме. «Поскольку эти данные часто отправляются обратно на серверы Glassbox, я бы не удивился, если бы у них уже были случаи, когда они собирали конфиденциальную банковскую информацию и пароли».
App Analyst отметил, что в то время как Hollister и Abercrombie & Fitch отправляли свои сеансы воспроизведения в Glassbox, другие, такие как Expedia и Hotels.com, решили собирать и отправлять данные воспроизведения сеансов на собственный сервер. По словам специалиста данные в основном были зашифрованы, но в некоторых случаях ему удалось увидеть адреса электронной почты и почтовые индексы. Исследователь заявил, что «Сингапурские авиалинии» также собирали данные о повторных сеансах, но отправляли их обратно в облако Glassbox.
Без анализа данных для каждого приложения невозможно узнать, записывает ли оно пользовательский экран. Никаких упоминаний об этом также нет в мелком шрифте о политике конфиденциальности.
Приложения, представленные в Apple App Store, обязательно должны иметь политику конфиденциальности, но ни одно из рассмотренных нами приложений не указывает в этом документе, что записывает экран пользователя. Glassbox не требует какого-либо специального разрешения от Apple или от пользователя, поэтому пользователь не узнает об этом.
Таких упоминаний нет ни в политике конфиденциальности Expedia, ни в политике Hotels.com. В случае с Air Canada мы не смогли найти ни единой строчки в ее положениях и условиях iOS, которая предполагает, что приложение iPhone отправляет данные экрана обратно в авиакомпанию. И в политике конфиденциальности Singapore Airlines также нет ничего подобного.
Мы попросили все компании указать нам, где именно в своих политиках конфиденциальности они указывают, что их приложения могут фиксировать действия пользователя на его телефоне.
Abercrombie ответили нам, подтвердив, что Glassbox «помогает поддерживать бесперебойный процесс совершения покупок, позволяя выявлять и решать любые проблемы, с которыми клиенты могут столкнуться при работе с цифровыми данными». Представитель, указывающий на политику конфиденциальности Abercrombie, не упоминает запись сеансов.
После публикации этой истории Air Canada также ответила нам: «Air Canada использует предоставленную клиентом информацию, чтобы гарантировать, что мы можем удовлетворить их потребности в поездках и гарантировать, что мы можем решить любые проблемы, которые могут повлиять на них» — отметил представитель компании. «Это включает в себя информацию о пользователях в мобильном приложении Air Canada. Однако Air Canada не ведёт запись и не может вести запись экрана телефона вне приложения Air Canada».
Позже «Сингапурские авиалинии» отправили электронное письмо с сообщением о том, что собираемые ими данные «соответствуют нашей политике конфиденциальности, которая включает использование данных клиентов для тестирования и устранения неполадок», и «определены в соответствии с пунктом 3 нашей политики конфиденциальности». Мы проверили еще раз, но ничего подобного в этом документе не нашли.
Expedia, которой принадлежит Hotels.com, не ответила на запрос о комментарии.
«Я думаю, что пользователи должны сами решать то, как они делятся своими данными, и первым шагом к этому является то, что компании должны открыто рассказать как они собирают данные о своих пользователях и с кем делятся ими» — отметил App Analyst.
В ответ на запрос представители Glassbox заявили, что не обязывает своих клиентов упоминать его использование в своей политике конфиденциальности.
«Glassbox обладает уникальной способностью реконструировать использование мобильного приложения в визуальном формате, что является еще одним инструментом аналитики. Glassbox SDK может взаимодействовать только с приложением наших клиентов и технически не может выходить за его границы». Например, когда системная клавиатура закрывает часть нативного приложения, «Glassbox не имеет к ней доступа» — отметил представитель.
Glassbox является одним из многих сервисов записи сессий на рынке. Appsee активно продвигает свою технологию, которая позволяет разработчикам «видеть приложение глазами пользователя», в то время как UXCam заявляет, что позволяет разработчикам «просматривать записи сессий пользователей, включая все их жесты и инициированные события».
Это не та отрасль, которая исчезнет в ближайшее время — компании полагаются на такого рода данные, чтобы понять, почему что-то может поломаться, что может недёшево стоит для крупных игроков.
Но тот факт, что разработчики приложений скрывают подобные действия выглядит по-настоящему жутко.
Оригинал: TechCrunch