Согласно расследованию TechCrunch, ряд популярных авиакомпаний, отелей и розничных приложений занимаются практикой записи экрана вашего iPhone без вашего ведома или согласия. Практика, известная как воспроизведение сеанса, обычно включает в себя наем сторонней фирмы, в данном случае аналитической фирмы Glassbox, для внедрения технологии в мобильное приложение.
Оттуда программное обеспечение Glassbox записывает каждое действие, которое вы делаете в приложении, а также делает скриншоты по пути. Еще хуже то, что для таких приложений, как Air Canada и другие туристические сайты, это включает в себя поля, где пользователи вводят конфиденциальную информацию, такую как номера паспортов, номера кредитных карт и другую финансовую и личную информацию.
По словам TechCrunch, ни одно из наиболее широко используемых туристических или розничных приложений, которые он мог бы найти, что используемая технология Glassbox не раскрывает это в политике конфиденциальности или аналогичном документе с открытым доступом. Кроме того, не похоже, что какое-либо из этих приложений каким-либо образом получило согласие пользователя. Среди приложений, упомянутых в исследовании, включают Air Canada, Abercrombie & Fitch и его дочернюю компанию Hollister, Expedia, Hotels.com, и Singapore Airlines, среди других. TechCrunch основал свой отчет на информации, обнаруженной сначала аналитиком приложений, блогом мобильной безопасности.
Хотя это, казалось бы, обычная практика в индустрии мобильных приложений, что делает его особенно тревожным является то, что приложение аналитик обнаружил, что "Эйр Канада" в частности, не была должным образом маскируя свои сессии анализировать файлы, если они были отправлены с мобильных устройств на серверах компании, что означает, что они уязвимы для человек-в-середине атаки или другие похожие перехват техника. Еще в августе прошлого года AirCanada сообщила, что ее мобильное приложение потерпело нарушение данных, подвергая данные профиля 20 000 пользователей, которые могут включать номера паспортов и другую конфиденциальную идентификационную информацию.
Как отмечает TechCrunch, ни одно из приложений, которые участвуют в записи экрана для целей аналитики, не раскрывают это пользователям. Это предполагает, что может быть несколько других приложений iOS, а также версии Android, которые используют повторы сеансов, и таким образом, что информация, записанная через приложение, уязвима для хакера или другой вредоносной третьей стороны.
И хотя это не может быть все, что удивительно, что многие компании там собирают этот тип данных, он подчеркивает, как эти крупные корпорации используют отсутствие понимания большинства пользователей мобильных приложений вокруг конфиденциальности, сбора данных и аналитики приложений. Когда The Wall Street Journal показал, что Google позволяет сторонним разработчикам приложений электронной почты читать ваши сообщения Gmail, это вызвало бурю негодования со стороны пользователей и членов Конгресса, которые в основном не знали об этой практике, хотя вы могли бы разумно назвать ее отраслевым стандартом.
В этом случае речь может идти не столько о вторжении в то, как вы используете, скажем, приложение Expedia в свободное время, сколько о потенциальном риске, с которым вы сталкиваетесь, когда Expedia небезопасно отправляет видео, отображающее номер вашей кредитной карты, обратно на свои серверы.
Подписывайся на канал и узнавай много нового из мира технологий