Многие крупные компании, такие как Air Canada, Hollister и Expedia, записывают каждое действие, которые вы делаете на своих приложениях для iPhone. В большинстве случаев вы даже не осознаете этого. И им не нужно просить разрешения.
Вы можете предположить, что большинство приложений собирают данные о вас. Некоторые даже монетизируют ваши данные без вашего ведома. Но мы нашли несколько популярных приложений для iPhone, от отельеров, туристических сайтов, авиакомпаний, операторов сотовых телефонов, банков и финансистов, которые не спрашивают или не дают понять,знают ли они, как именно вы используете их приложения.
Хуже того, даже если эти приложения предназначены для маскировки определенных полей, некоторые непреднамеренно предоставляют конфиденциальные данные.
Приложения, такие как Abercrombie & Fitch, Hotels.com и Singapore Airlines также используют Glassbox, аналитическую фирму, одну из немногих компаний, которая позволяет разработчикам внедрять технологию “Session replay” в свои приложения. Эти повторы сеанса позволяют разработчикам приложений записывать экран и воспроизводить их, чтобы увидеть, как его пользователи взаимодействовали с приложением, чтобы выяснить, не работает ли что-то или была ошибка. Каждое нажатие, нажатие кнопки и ввод клавиатуры записывается- effectively screenshotted - и отправляется обратно разработчикам приложений.
Или, как Glassbox сказал в недавнем твите: "представьте, если ваш веб-сайт или мобильное приложение может видеть, что именно ваши клиенты делают в режиме реального времени, и почему они это сделали?
App Analyst, мобильный эксперт, который пишет о своих анализах популярных приложений в своем одноименном блоге, недавно обнаружил, что приложение Air Canada для iPhone не было должным образом маскирует повторы сессии, когда они были отправлены, раскрывая номера паспортов и данные кредитных карт в каждой сессии воспроизведения. Всего за несколько недель до этого Air Canada заявила , что ее приложение имело нарушение данных, подвергая 20 000 профилей.
“Это дает сотрудникам Air Canada-и всем, кто может получить доступ к базе данных скриншотов-чтобы увидеть незашифрованную информацию о кредитных картах и паролях”, - сказал он.
Мы попросили App Analyst посмотреть на образец приложений, которые glassbox перечислил на своем веб-сайте в качестве клиентов. Используя Charles Proxy, инструмент " man-in-the-middle ", используемый для перехвата данных, отправляемых из приложения, исследователь мог увидеть, какие данные выходят из устройства.
Не каждом приложение просачивались замаскированные данные; ни одно из приложений, которые мы рассмотрели, не говорило, что они записывали экран пользователя — не говоря уже о отправке их обратно в каждую компанию или непосредственно в облако Glassbox.
Это может быть проблемой, если кто-то из клиентов Glassbox неправильно маскирует данные, сказал он по электронной почте. "Поскольку эти данные часто отправляются на серверы Glassbox, я бы не был в шоке, если бы у них уже были случаи, когда они захватывают конфиденциальную банковскую информацию и пароли”, - сказал он.
Аналитик приложения сказал, что в то время как Hollister и Abercrombie & Fitch отправили свои повторы сессии в Glassbox, другие, такие как Expedia и Hotels.com решил захватить и отправить данные воспроизведения сеанса назад к серверу на их собственном домене. Он сказал, что данные были “в основном запутаны”, но в некоторых случаях видели адреса электронной почты и почтовые индексы. Исследователь сказал, что Singapore Airlines также собирала данные повтора сессии, но отправила их обратно в облако Glassbox.
Без анализа данных для каждого приложения, невозможно узнать, если приложение записывает экраны пользователя о том, как вы используете приложение. Мы даже не нашли его в мелкой печати их политики конфиденциальности.
Приложения, отправляемые в магазин приложений Apple, должны иметь политику конфиденциальности, но ни одно из приложений, которые мы рассмотрели, не дает понять в своих политиках, что они записывают экран пользователя. Glassbox не требует никаких специальных разрешений от Apple или от пользователя, поэтому пользователь ни в коем случае не знает.
Политика Expedia не делает никаких упоминаний о записи вашего экрана, и не делает Hotels.com политика . И в случае с Air Canada мы не смогли обнаружить ни одной строки в ее условиях и положениях iOS или политике конфиденциальности, которая предполагает, что приложение iPhone отправляет данные экрана обратно в авиакомпанию. И в Политике конфиденциальности Singapore Airlines тоже нет упоминания.
Мы попросили все компании указать нам, где именно в своей политике конфиденциальности она позволяет каждое приложение, чтобы захватить то, что пользователь делает на своем телефоне.
Abercrombie ответил, подтвердив, что Glassbox “помогает поддерживать бесшовный опыт покупок, позволяя нам идентифицировать и решать любые проблемы, с которыми клиенты могут столкнуться в своем цифровом опыте."Представитель, указывающий на политику конфиденциальности Abercrombie, не упоминает о повторениях сессий, а также не делает политику своего родственного бренда Hollister .
После того, как эта история опубликована, Air Canada ответила: "Air Canada использует предоставленную клиентом информацию, чтобы мы могли поддерживать их потребности в поездках и гарантировать, что мы можем решить любые проблемы, которые могут повлиять на их поездки”, сказал представитель."Это включает в себя пользовательскую информацию, введенную и собранную в мобильном приложении Air Canada. Тем не менее, Air Canada не—и не—захват экранов телефонов за пределами Air Canada app.
Ни одна другая компания не ответила на наши вопросы.
"Я думаю, что пользователи должны играть активную роль в том, как они делятся своими данными, и первым шагом к этому является то, что компании должны прямо делиться тем, как они собирают свои данные пользователей и с кем они делятся ими”, - сказал аналитик приложения.
Когда его спросили, Glassbox сказал, что он не принуждает своих клиентов упоминать его использование в их политике конфиденциальности.
"Glassbox имеет уникальную возможность восстановить вид мобильного приложения в визуальном формате, который является еще одним видом аналитики, GLASSBOX SDK может взаимодействовать с нашими клиентами только родное приложение и технически не может нарушить границу приложения“, - сказал представитель, например, когда системная клавиатура охватывает часть родного приложения,” Glassbox не имеет доступа к нему", - сказал пресс-секретарь.
Glassbox является одним из многих услуг повтора сессии на рынке. Appsee активно продает свою технологию "записи пользователей“, которая позволяет разработчикам” видеть ваше приложение глазами пользователя“, в то время как UXCam говорит, что позволяет разработчикам" смотреть записи сеансов ваших пользователей, включая все их жесты и инициированные события.Большинство шло под радар, пока Mixpanel не вызвал гнев за ошибочно убирающие пароли после того, как маскировка гарантий не удалась.
Это не та отрасль, которая, скорее всего, исчезнет в ближайшее время — компании полагаются на такого рода данные воспроизведения сессии, чтобы понять, почему вещи ломаются, что может быть дорогостоящим в ситуациях с высокой доходностью.
Но тот факт, что разработчики приложений не публикуют это, просто показывает, что они это знают.