Недавно в сети появилась информация, что приложение "Burger King" записывает данные с вашего телефона, а доступ к этой информации могут получить другие люди.
В одном популярном информационно-развлекательном сообществе Pikabu появился пост "Приложение Burger King тайно записывает экран телефона!". Автор этого поста под ником "fennikami" рассказывает и описывает, как он определил, что приложение Burger King ведет запись с вашего телефона.
Представляю вашему вниманию его расследование:
Что это такое?
А это запрос от приложения к серверу (сверху) с инфой вроде его версии, модели телефона, времени запуска, разрешении дисплея. Вроде бы все окей, да?
Но! В ответ телефону прилетает информация (снизу) о том, как записывать видео с экрана. o_O
Причем, параметр MaxVideoLength (максимальная длина видео) указан, как "0", что значит – бесконечная запись (при запущенном приложении)!
Т. е. – приложение не просто записывает экран, а делает это постоянно, и ровно таким же образом постоянно отсылает запись на сервер. Как Вам, пользователи мобильного интернета? :)
О, а вот и запись экрана отправляется на сервер!
Обратите внимание на адрес *.appsee.com/upload (о том, что такое AppSee – в конце) слева и сам файл mp4 справа (все эти квадраты – видео в сыром виде, которое в живом эфире отправляется на сервер).
Ну и вишенка на торте: экран записывается даже тогда, когда Вы вбиваете данные своей банковской карты в приложение (и это необходимо для совершения заказа).
Ну и финальная вишенка: AppSee – это такая метрика (статистика) для приложений, и чуваки специализируются на таком вот способе отслеживания приложения для разработчиков/маркетологов.
Мало того, что записывать экран ни разу не круто, так еще к этим видео имеют доступ не только разработчики приложения Burger King, а и всякая шушера вроде партнеров AppSee (то есть – совершенно левые люди), да и сам AppSee тоже. Напомню – видео записывается даже тогда, когда вы вбиваете данные своей банковской карты. И к нему имеет доступ, кто попало.
Вот так выглядит само видео:
P. S: Еще там страшная Яндекс.Метрика и Crashlytics, и вот если Crashlytics можно хоть как-то доверять, то Яндекс собирает инфы столько, что глаза на лоб лезут.
___________________________________________________________________________________________________
UPD: приложение Burger King записывает прикосновения к экрану и может сопоставлять их с видео на экране, и эта информация, как и видео, доступна целой куче людей
Вот так и завершается повествование, о том что Burger King следит за нами и без нашего ведома собирает информацию. Вчера, 12 июля, пришел комментарий Burger King России по поводу появившихся в сети новостей о персональных данных пользователей нашего мобильного приложения.
"Мобильное приложение Бургер Кинг с удаленным заказом не собирает персональных данных своих подписчиков. Все транзакции надежно защищены одним из лучших эквайеров страны – Яндекс.Касса. Данные о поведении пользователей в приложении не содержат информации о банковских картах и не хранятся на сервере. Более того, данные а) обезличены и б) закодированы, так что даже при большом желании невозможно получить персональные данные. Приложение разработано для того, чтобы гости Бургер Кинг могли заказывать и забирать заказы у нас без очереди, и мы использовали лучшие российские и западные наработки, чтобы гарантировать безопасность данных наших любимых гостей. Это единственное приложение в стране, способное обрабатывать миллионы транзакций", – сказал Сергей Очеретин, диджитал-директор "Бургер Кинг Россия".
1. Какой функционал у мобильного приложения Бургер Кинг?
Это приложение помогает не стоять в очереди и оплатить заказ через защищенные протоколы Яндекс.Касса. Позволяет получать бонусы и эксклюзивные скидки и в скором времени можно будет заказать доставку на дом.
2. Правдива ли информация о сборе данных банковских карт пользователей?
Нет, информация носит недостоверный характер. Приложение Бургер Кинг действительно подключено к одной из самых известных во всем мире и защищённых аналитических платформ – AppSee, которая позволяет выявлять технические проблемы и другие "узкие" места в работе приложения. То есть это техническая надстройка, которая позволяет программистам определять, какой блок мобильного приложения следует улучшать для более удобной и бесперебойной работы.
Эта система не имеет ничего общего со сбором персональных данных, более того, ни мы, ни специалисты AppSee не видят персональных данных (они приходят на сервер в обезличенном виде).
Итого: 1) Сам сервис не записывает данные банковских карт и 2) Наш эквайринг (Яндекс.Касса) не передает нам данные банковских карт. Так что никто, включая AppSee не может видеть подобных данных, так как они программно зашифрованы и скрыты в видео черными полосками (см скриншот из записи AppSee ниже).
Пример аналитики AppSee – данные о карте скрыты черным прямоугольником
3. Получают ли партнеры AppSee доступ к данным клиентов?
Все данные приходят на сервер в обезличенном виде (то есть не видно имени пользователя и его личных данных, см пример во вложенном видео). AppSee работает под европейским законом о защите персональных данных, поэтому любой сбор таких данных обернулся бы для них огромными штрафами со стороны большого количества государств.
4. Как пользователю отключить "слежку" за собой?
Это и близко не похоже на слежку. AppSee подключен не ко всем пользователям, а к небольшой выборке. Сервис анализирует менее 10% от всех сессий (действий в приложении, выбирается случайно), ведется только при наличии wifi соединения и никогда не производится через мобильные сети связи (https://www.appsee.com/tutorials/recording-settings) . Без проблем можно исключить себя из выборки, достаточно прямо в форме обратной связи внутри приложения написать об этом.
5. Как Бургер Кинг использует эти данные?
Мобильное приложение Бургер Кинг – это инновация, первый в мире сервис, позволяющий людям делать покупку в ресторане удаленно, не стоя в очереди, а потом просто забирать без лишних слов на кассе. Для этого приложение Бургер Кинг подключено к международной системе AppSee, которая и анализирует блоки, требующие усовершенствования.
6. Бургер Кинг использует данные для рекламы или продажи третьим лицам?
Мы не получаем личных сведений о госте, кроме номера телефона, имени и имейла. Даже данные, которые мы получаем (имя, телефон и имейл) нам нужны только для того, чтобы начислять нашим гостям бонусы за заказ (до 15% с каждой оплаты возвращаются гостю в виде бонусных баллов).
7. Запись реквизитов банковских карт не противоречит требованиям безопасности пользовательских данных?
Записи номера банковской карты нет. Данные, которые мы и AppSee видим – обезличены и закодированы.
8. Сколько человек пользуется мобильным приложением Бургер Кинг?
Сейчас им пользуются около 3 млн человек, цифра удваивается каждый месяц. Средняя оценка опыта использования приложения среди тех, кто делал заказ – 4.8 из 5. Это приложение сейчас занимает первое место в GooglePlayMarketв категории "Еда и Напитки". То есть сервис очень востребованный и нравится нашим гостям.
Pikabu.ru
Пресс-служба Бургер Кинг Россия
