您的位置:首页 >财经 >

许多流行的iPhone应用程序秘密地记录你的屏幕而不问

2019-02-08 00:58:56来源:msn

许多大型公司,如加拿大航空公司,Hollister和Expedia,都在记录你在iPhone应用程序上的每一个点击和滑动。在大多数情况下,您甚至都不会意识到这一点 - 或者请求许可。

您可以假设大多数应用都在收集您的数据。有些人甚至在您不知情的情况下将数据货币化。但TechCrunch已经发现了几个流行的iPhone应用程序,包括酒店经营者,旅游网站,航空公司,手机运营商,银行和金融家,他们没有要求或说清楚 - 如果有的话 - 他们确切知道你如何使用他们的应用程序。

更糟糕的是,即使这些应用程序旨在掩盖某些字段,一些应用程序也会无意中暴露敏感数据。

像Abercrombie&Fitch,Hotels.com和新加坡航空公司这样的应用程序也使用Glassbox,这是一家客户体验分析公司,是少数几家允许开发人员在其应用程序中嵌入“会话重放”技术的公司之一。这些会话重放允许应用程序开发人员记录屏幕并播放它们以查看其用户如何与应用程序交互以确定某些内容是否有效或是否有错误。每个点击,按钮和键盘输入都被记录下来 - 有效地截屏 - 并发送回应用程序开发人员。

或者,正如Glassbox在最近的一条推文中所说的那样:“想象一下,如果您的网站或移动应用程序能够准确地看到您的客户实时做了什么,以及他们为什么这么做?”

App Analyst是一位移动专家,他在他的同名博客上写了他对热门应用程序的分析,最近发现Air Canada的iPhone应用程序在发送时没有正确地屏蔽会话重放,每次重播都会显示护照号码和信用卡数据会话。就在几周前,加拿大航空公司表示其应用程序存在数据泄露,暴露了20,000个配置文件。

“这让加拿大航空公司的员工 - 以及任何能够访问屏幕截图数据库的人 - 看到未加密的信用卡和密码信息,”他告诉TechCrunch。

我们要求App Analyst查看Glassbox作为客户在其网站上列出的应用程序示例。使用Charles Proxy,一种用于拦截从应用程序发送的数据的中间人工具,研究人员可以检查设备中的数据。

并非每个应用程序都泄漏了屏蔽数据,我们检查的应用程序都没有说他们正在录制用户的屏幕 - 更不用说将它们发送回每个公司或直接发送到Glassbox的云端。

他在一封电子邮件中说,如果Glassbox的任何一个客户没有正确地屏蔽数据,这可能会成为一个问题。“由于这些数据经常被发送回Glassbox服务器,如果他们已经拥有捕获敏感银行信息和密码的实例,我就不会感到震惊,”他说。

App Analyst表示,虽然Hollister和Abercrombie&Fitch将他们的会话重放发送到Glassbox,但Expedia和Hotels.com等其他人选择将会话重播数据捕获并结束回自己域中的服务器。他说这些数据“大部分都是混淆的”,但在某些情况下确实看到了电子邮件地址和邮政编码。研究人员表示,新加坡航空公司还收集了会议重播数据,但发回了Glassbox的云端。

如果不分析每个应用程序的数据,就无法知道某个应用程序是否正在记录用户使用该应用程序的屏幕。我们甚至没有在他们的隐私政策的小字体中找到它。

提交给Apple App Store的应用程序必须具有隐私政策,但我们审核的应用程序均未在其策略中明确记录用户的屏幕。Glassbox不需要Apple或用户的任何特殊许可,用户无法知道。

Expedia的政策没有提及录制您的屏幕,也没有提到Hotels.com的政策。和加拿大航空公司的情况一样,我们无法在其iOS条款和条件或隐私政策中发现一条线,暗示iPhone应用程序将屏幕数据发送回航空公司。而且,在新加坡航空公司的隐私政策中,也没有提及。

我们要求所有公司指出我们的隐私政策中的确切位置,允许每个应用程序捕获用户在手机上执行的操作。

只有Abercombie回应,确认Glassbox“有助于支持无缝购物体验,使我们能够识别并解决客户在数字体验中可能遇到的任何问题。”发言人指出Abercrombie的隐私政策没有提及会议回放,其姐妹品牌Hollister的政策也没有提及。

“我认为用户应该在他们如何共享数据方面发挥积极作用,而第一步就是让公司直截了当地分享他们收集用户数据的方式以及他们与谁共享数据,”应用分析师表示。

当被问到时,Glassbox表示并未强制其客户在其隐私政策中提及其用法。

“Glassbox具有以可视化格式重建移动应用程序视图的独特功能,这是另一种分析视图,Glassbox SDK只能与我们的客户原生应用程序进行交互,技术上无法打破应用程序的界限,”发言人说,这样当系统键盘覆盖本机应用程序的一部分/“Glassbox无法访问它”时,发言人说。

Glassbox是市场上众多会话重播服务之一。Appsee积极推广其“用户录制”技术,让开发人员“通过用户的眼睛看到您的应用程序”,而UXCam表示,它允许开发人员“观看用户会话的录制内容,包括所有手势和触发事件。”大多数人都不知所措,直到Mixpanel在屏蔽保护措施失败后错误地收获密码而引发愤怒。

这不是一个很快就会消失的行业 - 公司依靠这种会话重播数据来理解为什么事情会破裂,这在高收入的情况下会很昂贵。

但是,对于应用程序开发人员不公开它的事实,只是表明即使他们知道它是多么令人毛骨悚然。