Приложения крупных компаний — авиаперевозчиков, туроператоров и других — скрыто записывали данные с экранов владельцев смартфонов. Об этом сообщили эксперты портала TechCrunch, выяснившие этот факт, проведя собственное расследование. Компании использовали аналитический сервис Glassbox, который позволяет "видеть то, что ваши клиенты делают в приложении", как обещают создатели технологии. Apple поставила ультиматум разработчикам: предупреждать пользователей об этом способе сбора данных или удалить продукт из App Store. ТАСС вместе с экспертами разобрался в том, насколько повсеместно разработчики используют Glassbox и какие риски это несет для потребителей.
Как работает аналитический сервис Glassbox
Glassbox — это продукт израильской команды, он появился в 2010 году. У стартапа есть офисы в Тель-Авиве, Лондоне и Нью-Йорке. На сайте компании говорится, что продукт помогает владельцам приложений "видеть", как клиенты работают внутри платформы, и понимать, соответствуют ли их действия изначальной задумке. Разработчики, исходя из этой информации, могут улучшать свои сервисы под потребности пользователей.
Технически Glassbox попросту записывает видео работы клиента в приложении — фиксируется любое нажатие кнопки и свайп по экрану. Такие "повторы" клиентских сессий отправляются владельцам платформы.
"Возможно, сервис делает скриншоты, которые потом склеивает, но в итоге разработчик получает видео, — уточняет Аким Касабулатов, разработчик мобильных приложений для App Store. — И пользователи в этом случае не анонимны. Получатель знает, кто "автор" этой сессии. Допустим, вы покупали билеты через приложение авиакомпании — создатель платформы мог видеть, как вы "двигались" по его сервису: выбирали даты, рейсы, места и переходили к оплате. Что важно — никто не может и не должен видеть данные банковской карты и паспортные данные, которые вы вводите в специальных полях. Эти поля зашифрованы — визуально "замазываются" черными полосами. Но в случае ошибки разработчики могли видеть и такую конфиденциальную информацию, и более того — эти данные могли быть скомпрометированы в результате утечки".
По его данным, сервис Glassbox используется неповсеместно. "Речь идет о нескольких десятках приложений, — продолжает он. — А в App Store их больше миллиона. Но Glassbox — это не все, есть и другие аналитические системы. Сервис Appsee, например, работает примерно таким же образом. Разработчики платят деньги за использование этих аналитических продуктов. Обслуживание может стоить до нескольких тысяч долларов в месяц. Каждый разработчик хочет анализировать поведение своих клиентов, но чаще мы используем бесплатные "аналитики" — такие сервисы не "снимают" скришоты, а предоставляют отчеты в текстовом виде, в графиках, диаграммах, и пользователи при таком раскладе — анонимны".
Насколько опасны "следящие" сервисы
В списке партнеров на сайте Glassbox — чуть более десятка компаний. Российских брендов среди них нет. Эксперты считают, что у стартапа больше клиентов, но далеко не все согласны рассказывать, что "следят" за потребителями.
"Можно было предположить, что пользователи отреагируют негативно и на сам факт, и на то, что их не предупреждали о таком сборе данных, — считает Сергей Вильянов, индустриальный аналитик. — В действительности история "раздута". Сервис не может записывать действия за пределами приложения, где он внедрен. Если вы покупаете билеты, а параллельно пользуетесь другими приложениями или переписываетесь в мессенджерах — сервис не "видит" ваших действий на посторонних платформах. Кстати, на платформе iOS вообще нет открытой файловой системы — разработчик не имеет доступ к другим приложениям. Платежные и паспортные данные достаточно хорошо "шифруются". Да, есть вероятность ошибки и вероятность утечки персональных данных, но так может случиться независимо от того, использует ли разработчик "следящие" сервисы, прямой связи — нет, ведь, устанавливая приложение, вы даете владельцу платформы доступ к ряду сведений о вас. А также утечка может случиться не по вине разработчика операционной системы и приложения, а уже на стадии хранения".
Как понять, что приложение "следит" за вами
"В этом и проблема — обычный пользователь не может узнать, что приложения используют следящий трекер, если они не спрашивают при установке разрешения на это, — продолжает Аким Касабулатов. — Сейчас разве что можно зайти в App Store и посмотреть, каких приложений из тех, которыми вы пользовались, там больше нет. Или же можно предположить, что часть платформ, выпустивших обновления в течение суток после ультиматума Apple, — это те сервисы, которые также записывали наши данные".
Иногда понять, что платформа внедрила какой-либо аналитический сервис, можно, пробежавшись по пользовательскому соглашению, добавляет Касабулатов.
Посмотреть, какие права вы раздали разработчикам, можно внутри приложений или в App Store и Google Play.
"У них есть боты, которые сортируют письма от рекрутеров". Кого в IT "хантят" в 2019 году
Как интернет узнает ваши отпечатки пальцев. Что не так с хранением персональных данных
Как часто менять пароли? Где их хранить? Что не так с вашим роутером? Правила кибергигиены
Оценили 5 человек
8 кармы