TechCrunch: многие популярные приложения для iPhone тайно записывают экраны пользователей

Многие популярные приложения пользуются хитрой лазейкой, позволяющей им тайно записывать экраны iPhone. Речь идёт об аналитическом инструменте Glassbox — с его помощью пользователи могут обращаться к разработчику. Именно Glassbox пользуются разработчики сотен популярных приложений. Об этом рассказали журналисты TechCrunch.

Оказалось, что такие популярные приложения для iPhone, как Abercrombie & Fitch, Hotels.com, Singapore Airlines и Air Canada, собирают сведения о пользователях без их ведома. Они пользуются инструментом Glassbox, позволяющим им записывать данные с экрана с благими намерениями. Apple в свою очередь не обращает внимания на такие сервисы.

Обычно инструмент помогает в тех случаях, когда у клиентов, например, не проходит оплата за покупку в приложении, как это бывает у Abercrombie & Fitch. В таком случае приложение удалённо подключается к экрану пользователя для того, чтобы «разобраться в ситуации».

Представитель сервиса Abercrombie & Fitch подтвердил, что Glassbox «помогает поддерживать бесперебойный процесс совершения покупок, позволяя выявлять и решать любые проблемы, с которыми клиенты могут столкнуться при работе с цифровыми данными».

Glassbox позволяет разработчикам встраивать технологию «воспроизведения сеанса» в свои приложения. Эти повторы сеанса позволяют разработчикам приложения записывать экран и воспроизводить их, чтобы увидеть, как его пользователи взаимодействовали с приложением, чтобы выяснить, что не работает или из-за чего произошла ошибка.

Проблема заключается в том, что Glassbox по идее может подсматривать за личными данными пользователей. Более того, все записи экранов передаются на сервера по незашифрованному каналу. Эксперты отмечают, что большинство приложений не уведомляют пользователей о таких возможностях в своих лицензионных соглашениях.

Ни в одном из рассмотренных нами приложений не было указано, что они записывают экран пользователя, не говоря уже об их обратной отправке непосредственно в облако Glassbox, — заявляют журналисты TechCrunch.

Вот так недавно стало известно, что приложение Air Canada для iPhone не совсем правильно маскирует повторы сеансов при их отправке разработчикам, показывая номера паспортов и данные кредитных карт в каждой сессии воспроизведения. Всего несколько недель назад Air Canada заявила, что в её сервисе произошла утечка данных, которая выявила 20 000 скомпрометированных аккаунтов.

Glassbox даёт представителям Air Canada и любому другому лицу, способному получить доступ к базе данных снимков экрана, возможность просматривать незашифрованную информацию о кредитной карте и пароле. Поскольку эти данные часто отправляются обратно на серверы Glassbox, я был бы не удивлён, если бы у них уже были случаи, когда они собирали конфиденциальную банковскую информацию и пароли, — заявил мобильный эксперт в разговоре с TechCrunch.

Для легальной работы Glassbox разрешений не требуется, поэтому в дальнейшем будущем ряд приложений, использующих данный инструмент, будут и дальше подвергать некоторых пользователей сомнениям в безопасности использования такого решения как Glassbox. В своём Twitter представители Glassbox публикуют достаточно сильные заявления, например: «представьте, что вы можете смотреть в режиме реального времени, что делают ваши клиенты»:

Представитель Glassbox заявил, что не обязывает своих клиентов упоминать его использование в своей политике конфиденциальности:

Glassbox обладает уникальной способностью реконструировать представление мобильного приложения в визуальном формате, который является ещё одним представлением аналитики. Glassbox SDK может взаимодействовать только с собственным приложением наших клиентов и технически не может нарушать правил приложения. Например, когда системная клавиатура покрывает часть нативного приложения, Glassbox не имеет к ней доступа.

В России вышеупомянутые приложения не имеют особо активной аудитории, поэтому беспокоиться за сохранность своих данных не нужно. Однако необходимо осознавать, что Glassbox — не единственный аналитический инструмент, который пользуется популярностью у разработчиков тех или иных приложений. Ситуация с записью экранов имеет место обсуждениям и должна напоминать пользователям о необходимости детальнейшего ознакомления с лицензионными соглашениями — принимая их, юридически защитить себя в случае каких-либо утечек данных будет уже не так просто.

Напомним, в 2018 году широкий резонанс обрела ситуация вокруг расследования о том, что Burger King записывает видео с экрана, в том числе при вводе реквизитов банковских карт. Дошло до того, что, мягко угрожая, вероятный представитель Burger King утверждал, что вычислил автора расследования. История началась с момента, когда пользователь «Пикабу» под ником fennikami проанализировал приложение сети Burger King. Он заявлял, что при запуске приложения начинается запись видео с экрана смартфона и отправка его на сервер. Как оказалось, данные отсылались и партнёрам платформы AppSee — сервису метрики для приложений.

Один из разработчиков приложения Burger King в «Пикабу» ответил на заявление пользователя и отметил, что все записываемые данные на сервера действительно приходят, но в обезличенном формате. Ситуация вынудила Роскомнадзор заняться проверкой компании Burger King в России.