Множество популярных приложений, принадлежащих авиакомпаниям, производителям одежды и тому подобное, например, Air Canada, Hollister и Expedia, в своих мобильных приложениях использовали сторонний аналитический инструмент Glassbox. То есть каждое нажатие, которое делал пользователь в своих приложениях для iPhone, записывалось. В большинстве случаев люди об этом даже не догадывались, да и разрешения у них никто не спрашивал. В Apple потребовали неукоснительно уведомлять пользователей о таких действиях либо удалять приложения.
Об этом пишет издание TechCrunch.
Так, журналисты TechCrunch при поддержке эксперта App Analyst выяснили, как приложения шпионят за пользователями.
Так, инструмент Glassbox позволяет приложениям передавать на удаленные серверы session replay, то есть то, что происходило на экране устройства пользователя, а именно: любые нажатия, жесты, запросы в поисковике, все, что было набрано на клавиатуре.
Как правило, определенные поля в формах и некоторые части экрана во время записи автоматически цензурируются (номера банковских карт пользователей или личные данные), но и тут возникают “проколы”. Так, специалист App Analyst обнаружил, что официальное приложение Air Canada для iOS записывало сессии пользователей, но не скрывало пароли, данные банковских карт и номера паспортов. В итоге это стало причиной утечки данных 20 тысяч человек.
В таких приложениях, как Abercrombie & Fitch, Hotels.com и Singapore Airlines, также используется Glassbox.
Стоит отметить, что подобная функциональность предназначалась исключительно для разработчиков, чтобы те могли понимать, как именно люди пользуются их продуктом, почему возникают ошибки и так далее. Стоит отметить, что многие приложения вообще никак не информируют пользователей о Glassbox, а это означает, что за людьми следят тайно.
Как отмечают в TechCrunch, приложения, представленные в Apple App Store, должны иметь политику конфиденциальности, но ни одно из проанализированных приложений не указывает в описании, что они записывают экран пользователя. Glassbox не требует какого-либо специального разрешения от Apple или от пользователя, поэтому пользователь не знает об этом.
Журналисты попросили все компании, приложения которых изучались, показать, где именно в описании политики конфиденциальности указывается, что приложение позволяет фиксировать действия пользователя на своем телефоне.
ЧИТАЙТЕ ТАКЖЕ: Глава Apple просит Bloomberg отозвать статью о китайских чипах-шпионах
Компания Abercrombie ответила, подтвердив, что Glassbox “помогает поддерживать бесперебойный процесс совершения покупок, позволяя нам выявлять и решать любые проблемы, с которыми клиенты могут столкнуться при работе с цифровыми данными”.
В Air Canada ответили: “Air Canada использует предоставленную клиентом информацию, чтобы гарантировать, что мы можем удовлетворить их потребности и решить любые проблемы во время поездки. Однако Air Canada не снимает информацию с экранов телефонов вне приложения Air Canada”.
Позже “Сингапурские авиалинии” в письме сообщили, что сбор компанией данных “соответствуют политике конфиденциальности, которая включает использование данных клиентов для тестирования и устранения неполадок”, и, что это “определено в соответствии с пунктом 3 нашей политики конфиденциальности”. Эксперт App Analyst проверил эту инфорацию, но ничего подобного не нашел.
Компания Expedia, которой принадлежит Hotels.com, не ответила на запрос.
В Glassbox заявили, что они не обязывает своих клиентов упоминать об использовании данного функционала в приложениях.
ЧИТАЙТЕ ТАКЖЕ: Хакеры взломали компанию TheTruthSpy, разрабатывающую шпионские приложения
“Glassbox SDK может взаимодействовать только с собственным приложением наших клиентов и технически не может нарушать границы этого приложения”, – сказал представитель компании.
Стоит отметить, что после выхода этого материала, представители техгиганта Apple решили снова напомнить разработчикам приложений, что такие практики напрямую нарушают правила компании, а людей всегда следует напрямую уведомлять о подобной слежке.
В электронном письме представитель Apple сказал: “Защита конфиденциальности пользователей имеет первостепенное значение в экосистеме Apple. Наши рекомендации для App Store требуют, чтобы приложения запрашивали согласие пользователя и предоставляли четкую визуальную индикацию при записи, ведении журнала активности пользователя. Мы уведомили разработчиков, что они нарушают эти строгие условия и принципы конфиденциальности, и в случае необходимости должны предпринять немедленные действия”.
Ранее сообщалось, что компания Apple отозвала специальные сертификаты Enterprise Developer Certificates, которые позволяли Facebook распространять свое приложение вне магазина Apple.
