许多流行的iPhone应用程序会在没有询问的情况下偷偷地录下你的屏幕

2019-12-30 14:36:54
导读 加拿大航空(air Canada)、霍利斯特(Hollister)和艾派迪(Expedia)等许多大公司都在他们的iPhone应用程序上记录你的每一次点击和滑动。在大多数情况下,你甚至都意识不到。他们不需要请求许可。你可以假设大多数应用程序都在收集你的数据。有些人甚至在你不知情的情况下将你的数据货币化。但是,TechCrunch发现了一些很受欢迎的iPhone应用程序,包括酒店、旅游网站、航空公

加拿大航空(air Canada)、霍利斯特(Hollister)和艾派迪(Expedia)等许多大公司都在他们的iPhone应用程序上记录你的每一次点击和滑动。在大多数情况下,你甚至都意识不到。他们不需要请求许可。

你可以假设大多数应用程序都在收集你的数据。有些人甚至在你不知情的情况下将你的数据货币化。但是,TechCrunch发现了一些很受欢迎的iPhone应用程序,包括酒店、旅游网站、航空公司、手机运营商、银行和金融机构,这些应用程序并没有询问或明确说明(如果有的话)你是如何使用它们的应用程序的。

更糟糕的是,尽管这些应用程序是用来屏蔽某些字段的,但有些却无意中暴露了敏感数据。

像Abercrombie &惠誉(Fitch)、Hotels.com和新加坡航空(Singapore Airlines)也使用客户体验分析公司Glassbox,这是为数不多的几家允许开发者将“会话回放”技术嵌入其应用程序的公司之一。这些会话回放允许应用程序开发人员记录屏幕并回放,以查看用户与应用程序的交互情况,从而判断是否发生了问题或错误。每一次点击、按键和键盘输入都会被记录下来——有效地截屏——并返回给应用程序开发者。

或者,就像Glassbox在最近的一条推文中所说的那样:“想象一下,如果你的网站或移动应用能够实时准确地看到你的客户在做什么,以及他们为什么这样做?”

这位手机应用程序分析师最近发现,加拿大航空公司(Air Canada)的iPhone应用程序在发送回放时没有正确地掩盖回放过程,在每次回放过程中都会暴露护照号码和信用卡数据。就在几周前,加拿大航空(Air Canada)称其应用程序遭遇数据泄露,泄露了2万份个人资料。

他告诉TechCrunch:“这让加拿大航空公司的员工——以及任何能够访问截图数据库的人——能够看到未加密的信用卡和密码信息。”

在Air Canada的应用程序中,虽然字段被掩盖了,但是掩蔽并不总是有效的(图片:应用程序分析师/提供)

我们请应用程序分析师查看Glassbox在其网站上列出的客户应用程序样本。使用Charles Proxy,一个中间人工具来拦截每个应用程序发送的数据,研究人员可以检查设备中流出了什么数据。

并不是每个应用程序都泄露了屏蔽数据;我们调查的应用程序中没有一个说它们记录了用户的屏幕,更别说把它们发送回每家公司或直接发送到Glassbox的云端了。

他在一封电子邮件中说,如果Glassbox的任何一位客户没有适当地屏蔽数据,这可能会是个问题。他说:“由于这些数据经常被发送回Glassbox的服务器,如果他们已经掌握了获取敏感银行信息和密码的实例,我不会感到震惊。”

应用程序分析师表示,虽然霍利斯特和阿伯克龙比&惠誉将他们的会话回放发送到Glassbox,而Expedia和Hotels.com等其他公司则选择捕捉并将会话回放数据发送回他们自己的服务器。他说,这些数据“大多模糊不清”,但在某些情况下确实能看到电子邮件地址和邮政编码。研究人员表示,新加坡航空公司也收集了会话回放数据,但将其发送回了Glassbox的云端。

如果不分析每个应用程序的数据,就不可能知道一个应用程序是否记录了用户使用该应用程序的方式。我们甚至没有在他们的隐私政策的小字中找到它。

提交到苹果应用商店的应用程序必须有隐私保护政策,但我们所审查的应用程序中,没有一个在政策中明确指出它们会记录用户的屏幕。Glassbox不需要任何来自苹果或用户的特别许可,所以用户不可能知道。

Expedia的政策没有提到记录你的屏幕,Hotels.com的政策也没有提到。在加拿大航空公司的案例中,我们在iOS的条款和条件或隐私政策中找不到任何一行表明iPhone应用程序将屏幕数据发送回航空公司。在新加坡航空公司的隐私政策中,也没有提及。

我们要求所有公司向我们指出,在隐私政策中,它允许每个应用程序捕捉用户在手机上的行为。

Abercrombie回应称,Glassbox“有助于提供无缝的购物体验,让我们能够识别和解决客户在数字体验中可能遇到的任何问题”。指向abercrombie 's隐私政策的发言人没有提及录像回放,其姊妹品牌Hollister的隐私政策也没有提及。

在这篇报道发表后,加拿大航空公司回应称:“加拿大航空公司利用客户提供的信息,以确保我们能够满足他们的旅行需求,并确保我们能够解决任何可能影响他们旅行的问题。”“这包括在加拿大航空公司的移动应用程序中输入和收集的用户信息。然而,加拿大航空公司不——也不能——捕获加拿大航空公司应用程序之外的手机屏幕。”

后来,新加坡航空公司(Singapore Airlines)通过电子邮件回复称,它收集的数据“符合我们的隐私政策,其中包括使用客户数据进行测试和故障排除”,而且是“根据我们的隐私政策第3条规定的”。我们又检查了一遍,但没有发现这类东西。

拥有Hotels.com的Expedia没有回复记者的置评请求。

“我认为用户应该在如何共享数据方面发挥积极作用,而第一步是让公司坦率地分享他们如何收集用户数据,以及与谁共享数据,”这位应用程序分析师表示。

当被问及这个问题时,Glassbox表示,它不会强迫客户在隐私政策中提及它的用法。

“玻璃墙有独特的能力来重建视觉的移动应用程序视图格式,另一种观点的分析,玻璃墙SDK只能与我们的客户本地应用和技术不能应用的边界,”该发言人说,比如当系统键盘覆盖本地应用的一部分,“玻璃墙没有访问它,”这位发言人说。

Glassbox是市场上众多会话回放服务之一。Appsee积极地推销它的“用户记录”技术,让开发人员“通过用户的眼睛看到你的应用”,而UXCam说它让开发人员“观看用户的会话记录,包括他们所有的手势和触发事件”。直到Mixpanel因为在屏蔽保护失败后错误地获取密码而引发众怒之前,大多数人都没有受到关注。

这不是一个短期内就会消失的行业——公司依赖于这种会话回放数据来理解为什么事情会中断,这在高收入的情况下是很昂贵的。

但事实上,应用程序开发人员并没有公开这款应用程序,这表明即使他们知道这款应用程序有多恐怖。


免责声明:本文由用户上传,如有侵权请联系删除!

猜你喜欢

最新文章