Многие популярные приложения пользуются хитрой лазейкой, позволяющей им тайно записывать экраны iPhone. Речь идёт об аналитическом инструменте Glassbox — с его помощью пользователи могут обращаться к разработчику. Именно Glassbox пользуются разработчики сотен популярных приложений. Об этом рассказали журналисты TechCrunch.

Приложение, пользующееся Glassbox, заявившее недавно об утечке данных клиентов.

Оказалось, что такие популярные приложения для iPhone, как Abercrombie & Fitch, Hotels.com, Singapore Airlines и Air Canada, собирают сведения о пользователях без их ведома. Они пользуются инструментом Glassbox, позволяющим им записывать данные с экрана с благими намерениями. Apple в свою очередь не обращает внимания на такие сервисы.

Обычно инструмент помогает в тех случаях, когда у клиентов, например, не проходит оплата за покупку в приложении, как это бывает у Abercrombie & Fitch. В таком случае приложение удалённо подключается к экрану пользователя для того, чтобы «разобраться в ситуации».

Представитель сервиса Abercrombie & Fitch подтвердил, что Glassbox «помогает поддерживать бесперебойный процесс совершения покупок, позволяя выявлять и решать любые проблемы, с которыми клиенты могут столкнуться при работе с цифровыми данными».

Glassbox позволяет разработчикам встраивать технологию «воспроизведения сеанса» в свои приложения. Эти повторы сеанса позволяют разработчикам приложения записывать экран и воспроизводить их, чтобы увидеть, как его пользователи взаимодействовали с приложением, чтобы выяснить, что не работает или из-за чего произошла ошибка.

Проблема заключается в том, что Glassbox по идее может подсматривать за личными данными пользователей. Более того, все записи экранов передаются на сервера по незашифрованному каналу. Эксперты отмечают, что большинство приложений не уведомляют пользователей о таких возможностях в своих лицензионных соглашениях.

Ни в одном из рассмотренных нами приложений не было указано, что они записывают экран пользователя, не говоря уже об их обратной отправке непосредственно в облако Glassbox, — заявляют журналисты TechCrunch.
В случае приложения Air Canadа не всегда происходит маскировка полей.

Вот так недавно стало известно, что приложение Air Canada для iPhone не совсем правильно маскирует повторы сеансов при их отправке разработчикам, показывая номера паспортов и данные кредитных карт в каждой сессии воспроизведения. Всего несколько недель назад Air Canada заявила, что в её сервисе произошла утечка данных, которая выявила 20 000 скомпрометированных аккаунтов.

Glassbox даёт представителям Air Canada и любому другому лицу, способному получить доступ к базе данных снимков экрана, возможность просматривать незашифрованную информацию о кредитной карте и пароле. Поскольку эти данные часто отправляются обратно на серверы Glassbox, я был бы не удивлён, если бы у них уже были случаи, когда они собирали конфиденциальную банковскую информацию и пароли, — заявил мобильный эксперт в разговоре с TechCrunch.

Для легальной работы Glassbox разрешений не требуется, поэтому в дальнейшем будущем ряд приложений, использующих данный инструмент, будут и дальше подвергать некоторых пользователей сомнениям в безопасности использования такого решения как Glassbox. В своём Twitter представители Glassbox публикуют достаточно сильные заявления, например: «представьте, что вы можете смотреть в режиме реального времени, что делают ваши клиенты»:

Представитель Glassbox заявил, что не обязывает своих клиентов упоминать его использование в своей политике конфиденциальности:

Glassbox обладает уникальной способностью реконструировать представление мобильного приложения в визуальном формате, который является ещё одним представлением аналитики. Glassbox SDK может взаимодействовать только с собственным приложением наших клиентов и технически не может нарушать правил приложения. Например, когда системная клавиатура покрывает часть нативного приложения, Glassbox не имеет к ней доступа.

В России вышеупомянутые приложения не имеют особо активной аудитории, поэтому беспокоиться за сохранность своих данных не нужно. Однако необходимо осознавать, что Glassbox — не единственный аналитический инструмент, который пользуется популярностью у разработчиков тех или иных приложений. Ситуация с записью экранов имеет место обсуждениям и должна напоминать пользователям о необходимости детальнейшего ознакомления с лицензионными соглашениями — принимая их, юридически защитить себя в случае каких-либо утечек данных будет уже не так просто.

Напомним, в 2018 году широкий резонанс обрела ситуация вокруг расследования о том, что Burger King записывает видео с экрана, в том числе при вводе реквизитов банковских карт. Дошло до того, что, мягко угрожая, вероятный представитель Burger King утверждал, что вычислил автора расследования. История началась с момента, когда пользователь «Пикабу» под ником fennikami проанализировал приложение сети Burger King. Он заявлял, что при запуске приложения начинается запись видео с экрана смартфона и отправка его на сервер. Как оказалось, данные отсылались и партнёрам платформы AppSee — сервису метрики для приложений.

Один из разработчиков приложения Burger King в «Пикабу» ответил на заявление пользователя и отметил, что все записываемые данные на сервера действительно приходят, но в обезличенном формате. Ситуация вынудила Роскомнадзор заняться проверкой компании Burger King в России.

Подписывайтесь на «Код Дурова» в Telegram и во «ВКонтакте», чтобы всегда быть в курсе интересных новостей!