Muitos aplicativos do iPhone secretamente gravam sua tela sem perguntar

Muitas grandes empresas , como a Air Canada, a Hollister e a Expedia, estão gravando cada toque e toque que você faz em seus aplicativos para iPhone. Na maioria dos casos, você nem percebe isso. E eles não precisam pedir permissão.

Você pode supor que a maioria dos aplicativos está coletando dados de você. Alguns até monetizam seus dados sem o seu conhecimento. Mas o site TechCrunch encontrou vários aplicativos populares para iPhone, de hoteleiros, sites de viagens, companhias aéreas, operadoras de telefonia celular, bancos e financistas, que não perguntam ou deixam claro – se são – que sabem exatamente como estão usando seus aplicativos. .

Pior, apesar de esses aplicativos serem destinados a mascarar certos campos, alguns inadvertidamente expõem dados confidenciais.

Aplicativos como Abercrombie & Fitch, Hotels.com e Singapore Airlines também usam a Glassbox, uma empresa de análise de experiência do cliente, uma das poucas empresas que permite aos desenvolvedores incorporar a tecnologia “replay de sessão” em seus aplicativos. Esses replays da sessão permitem que os desenvolvedores de aplicativos gravem a tela e os reproduzam para ver como os usuários interagiram com o aplicativo para descobrir se algo não funcionou ou se houve um erro. Cada toque, botão e entrada do teclado são gravados – efetivamente tirados da tela – e enviados de volta para os desenvolvedores do aplicativo.

Ou, como Glassbox disse em um tweet recente : “Imagine se o seu site ou aplicativo móvel pudesse ver exatamente o que seus clientes fazem em tempo real, e por que eles fizeram isso?”

O App Analyst, um especialista em dispositivos móveis que escreve sobre suas análises de aplicativos populares em seu blog, descobriu recentemente que o aplicativo da Air Canada não estava mascarando corretamente  os replays da sessão, expondo números de passaporte e dados de cartão de crédito em cada sessão de replay. . Apenas algumas semanas antes, a Air Canada disse que seu aplicativo tinha uma violação de dados , expondo 20.000 perfis.

“Isso dá aos funcionários da Air Canada – e a qualquer outra pessoa capaz de acessar o banco de dados de capturas de tela – ver informações não criptografadas de cartão de crédito e senha” disse o desenvolvedor.

No caso do aplicativo da Air Canada, apesar de os campos estarem mascarados, o mascaramento nem sempre ficou (Imagem: The App Analyst / supplied)

O site TechCrunch pediu ao The App Analyst para analisar uma amostra de aplicativos que a Glassbox listou em seu site como clientes. Usando o Charles Proxy, uma ferramenta man-in-the-middle usada para interceptar os dados enviados pelo aplicativo, o pesquisador podia examinar quais dados estavam saindo do dispositivo.

Nem todo aplicativo estava vazando dados mascarados; Nenhum dos aplicativos que examinaram dizia que eles estavam gravando a tela de um usuário – muito menos enviando de volta para cada empresa ou diretamente para a nuvem da Glassbox.

Isso pode ser um problema se qualquer um dos clientes da Glassbox não estiver mascarando os dados corretamente, disse ele em um e-mail. “Como esses dados costumam ser enviados de volta para os servidores da Glassbox, eu não ficaria chocado se eles já tivessem capturado informações e senhas bancárias confidenciais”.

O Analista de Aplicativos disse que, embora Hollister e Abercrombie & Fitch tenham enviado seus replays de sessão para o Glassbox, outros como Expedia e Hotels.com optaram por capturar e enviar dados de reprodução de sessão para um servidor em seu próprio domínio. Ele disse que os dados eram “na maior parte ofuscados”, mas em alguns casos viram endereços de e-mail e códigos postais. O pesquisador disse que a Singapore Airlines também coletou dados de repetição de sessão, mas os enviou de volta à nuvem da Glassbox.

Sem analisar os dados de cada aplicativo, é impossível saber se um aplicativo está gravando as telas de um usuário de como você está usando o aplicativo. Não foi possível também encontrar nas pequenas letras de suas políticas de privacidade.

Os aplicativos enviados à App Store da Apple precisam ter uma política de privacidade , mas nenhum dos aplicativos que analisamos deixa claro em suas políticas que eles registram a tela de um usuário. O Glassbox não requer nenhuma permissão especial da Apple ou do usuário, portanto não há como um usuário saber.

A política da Expedia não menciona a gravação da sua tela, nem a política da Hotels.com . E no caso da Air Canada, não foi possível identificar uma única linha nos termos e condições do iOS ou na política de privacidade que sugere que o aplicativo do iPhone envie os dados da tela de volta para a companhia aérea. E na política de privacidade da Singapore Airlines, também não há menção .

Foi pedido a todas as empresas que indiquem exatamente onde, em suas políticas de privacidade, ele permite que cada aplicativo capture o que um usuário faz em seu telefone.

A Abercrombie respondeu ao site TechCrunch, confirmando que a Glassbox “ajuda a suportar uma experiência de compra perfeita, permitindo-nos identificar e resolver quaisquer problemas que os clientes possam encontrar em sua experiência digital”. O porta-voz apontando para a política de privacidade da Abercrombie não faz menção aos replays da sessão. marca política de Hollister .

Depois que a reportagem foi publicada, a Air Canada respondeu: “A Air Canada usa informações fornecidas pelo cliente para garantir que podemos apoiar suas necessidades de viagem e garantir que possamos resolver quaisquer problemas que possam afetar suas viagens”, disse um porta-voz. e coletado no aplicativo móvel da Air Canada. No entanto, a Air Canada não – e não pode – capturar telas de telefone fora do aplicativo da Air Canada. ”

Nenhuma outra empresa respondeu com respostas às perguntas. Disse o site TechCrunch

“Acredito que os usuários devem ter um papel ativo na maneira como compartilham seus dados, e o primeiro passo para isso é fazer com que as empresas sejam francas em compartilhar como coletam os dados de seus usuários e com quem eles compartilham”, disse The App Analyst.

Quando perguntado, a Glassbox disse que não faz cumprir seus clientes para mencionar seu uso em sua política de privacidade.

“Glassbox tem uma capacidade única de reconstruir a visualização de aplicativos móveis em um formato visual, que é outra visão de análise, o Glassbox SDK só pode interagir com o aplicativo nativo de nossos clientes e tecnicamente não pode quebrar o limite do aplicativo”, disse o porta-voz. como quando o teclado do sistema cobre parte do aplicativo nativo, “o Glassbox não tem acesso a ele”.

Glassbox é um dos muitos serviços de replay de sessão no mercado. O Appseecomercializa ativamente sua tecnologia de “gravação de usuários”, permitindo que os desenvolvedores “vejam seu aplicativo aos olhos do usuário”, enquanto a UXCam permite que os desenvolvedores “assistam a gravações das sessões de seus usuários, incluindo todos os seus gestos e eventos acionados”. radar até que o Mixpanel provocou raiva por ter colhido erroneamente as senhasdepois que as proteções de mascaramento falharam.

Não é uma indústria que provavelmente desaparecerá tão cedo – as empresas contam com esse tipo de dados de repetição de sessão para entender por que as coisas quebram, o que pode custar caro em situações de alta receita.

Mas o fato de os desenvolvedores de aplicativos não divulgarem isso apenas mostra o quão assustador eles sabem que é.