许多大公司,如加拿大航空公司,霍利斯特公司和Expedia公司,正在记录你在他们的iPhone应用上制作的每一个点击和滑动。在大多数情况下,你甚至都不会意识到它。而且他们不需要请求许可。
我们可以假设大多数应用都在收集我们的数据。有些人甚至在我们不知情的情况下将数据货币化。但TechCrunch已经发现了几个流行的iPhone应用程序,包括酒店经营者,旅游网站,航空公司,手机运营商,银行和金融家,他们没有要求或说清楚 - 如果有的话 - 他们应该确切知道你是如何使用他们的应用程序。
更糟糕的是,即使这些应用程序旨在掩盖某些字段,一些应用程序也会无意中暴露敏感数据。
像Abercrombie&Fitch,Hotels.com和新加坡航空公司这样的应用程序也使用Glassbox,这是一家客户体验分析公司,是少数几家允许开发人员在其应用程序中嵌入“会话重放”技术的公司之一。这些会话重放允许应用程序开发人员记录屏幕并播放它们以查看其用户如何与应用程序交互以确定某些内容是否有效或是否有错误。每个点击,按钮按钮和键盘输入都被记录 - 有效地截屏 - 并发送回应用程序开发人员。
或者,正如Glassbox 在最近的一条推文中所说的那样:“想象一下,如果您的网站或移动应用程序能够准确地看到您的客户实时做了什么,以及他们为什么这么做?”
App Analyst是一位移动专家,他在他的同名博客上写了他对热门应用程序的分析,最近发现加拿大航空公司的iPhone应用程序在发送时没有正确屏蔽会话重放,在每次重播会话中都会公开护照号码和信用卡数据。就在几周前,加拿大航空公司表示其应用程序存在数据泄露,暴露了20,000个配置文件。
“这让加拿大航空公司的员工 - 以及任何能够访问屏幕截图数据库的人 - 看到未加密的信用卡和密码信息,”他告诉TechCrunch。
图片:App Analyst /提供
App Analyst查看Glassbox作为客户在其网站上列出的应用程序示例。使用Charles Proxy,一个用于拦截每个应用程序发送的数据的中间人工具,研究人员可以检查从设备输出的数据。
并非每个应用都泄漏了屏蔽数据; 我们检查的所有应用都没有说他们正在录制用户的屏幕 - 更不用说将它们发送回每个公司或直接发送到Glassbox的云端。
他在一封电子邮件中说,如果Glassbox的任何一个客户没有正确地屏蔽数据,这可能会成为一个问题。“由于这些数据经常被发送回Glassbox服务器,如果他们已经拥有捕获敏感银行信息和密码的实例,我就不会感到震惊,”他说。
App Analyst表示,虽然Hollister和Abercrombie&Fitch将他们的会话重放发送到Glassbox,但Expedia和Hotels.com等其他人选择捕获会话重播数据并将其发送回自己域名的服务器。他说这些数据“大部分都是混淆的”,但在某些情况下确实看到了电子邮件地址和邮政编码。研究人员表示,新加坡航空公司还收集了会议重播数据,但只将其发回Glassbox的云端。
如果不分析每个应用程序的数据,就无法知道某个应用程序是否正在记录用户使用该应用程序的屏幕。他们甚至没有在他们的隐私政策的小字体中找到它。
提交给Apple App Store的应用程序必须具有隐私政策,但我们审核的应用程序均未在其策略中明确记录用户的屏幕。Glassbox不需要Apple或用户的任何特殊许可,因此用户无法知道。
Expedia的政策没有提及录制我们的屏幕,也没有提到 Hotels.com的政策。在加拿大航空公司的情况下,我们无法在其iOS条款和条件或隐私政策中发现一条线,暗示iPhone应用程序将屏幕数据发送回航空公司。在新加坡航空公司的隐私政策中,也没有提及。
我们要求所有公司指出我们在其隐私政策中的确切位置,它允许每个应用程序捕获用户在手机上所做的事情。
Abercrombie回应道,确认Glassbox“有助于支持无缝购物体验,使我们能够识别并解决客户在数字体验中可能遇到的任何问题。”发言人指出Abercrombie的隐私政策没有提及会话回放,其兄弟公司也没有 -品牌霍利斯特的政策。
发布此事件后,加拿大航空公司回应:“加拿大航空公司使用客户提供的信息确保我们能够支持他们的旅行需求,并确保我们能够解决任何可能影响他们旅行的问题,”一位发言人说,“这包括输入的用户信息,并收集在加拿大航空移动应用程序上。然而,加拿大航空公司不会 - 也不能 - 捕获加拿大航空公司应用程序之外的手机屏幕。“
之后,新加坡航空公司通过电子邮件回复,称其收集的数据“符合我们的隐私政策,其中包括使用客户数据进行测试和故障排除问题”,并且“根据我们隐私政策的第3条规定。”我们再次检查,但没有发现任何类型。
拥有Hotels.com的Expedia没有回复评论请求。
“我认为用户应该在如何共享数据方面发挥积极作用,而第一步就是让公司直截了当地分享他们如何收集用户数据以及他们与谁共享数据,”应用分析师表示。
当被问到时,Glassbox表示并未强制其客户在其隐私政策中提及其用法。
“Glassbox具有以可视化格式重建移动应用程序视图的独特功能,这是另一种分析视图,Glassbox SDK只能与我们的客户原生应用程序进行交互,技术上无法打破应用程序的界限,”发言人说,这样当系统键盘覆盖本机应用程序的一部分时,“Glassbox无法访问它”。
Glassbox是市场上众多会话重播服务之一。Appsee积极推广其“用户录制”技术,让开发人员“通过用户的眼睛看到您的应用程序”,而UXCam表示,它允许开发人员“观看用户会话的录制内容,包括他们所有的手势和触发的事件。”大多数都在直到Mixpanel 在屏蔽保护措施失败后错误地获取密码引发了愤怒。
这不是一个很快就会消失的行业 - 公司依靠这种会话重播数据来理解产品失败原因,这在高收入的情况下会很昂贵。
但是,对于应用程序开发人员不公开它的事实,只是表明即使他们知道它是多么令人毛骨悚然。
不知道大家看完这个新闻是否也会感到毛骨悚然,这样的做法对于用户的隐私暴露是何其严重。
閱讀更多 科普百科全書 的文章
