蘋果更新了開發者指南,要求使用類似 Glassbox 開發工具的開發者,刪除這類內嵌在應用裡的分析工具或向用戶明確披露這種工具對數據收集的方式,否則將從 AppStore 中移除該應用。
移動應用安全博客 App Analyst 發佈安全報告稱,加拿大航空使用一款名為 Glassbox 的工具獲取用戶的位置信息及手機的屏幕截圖。
根據這份報告,TechCrunch 又和 App Analyst 在進一步分析中發現了多個應用在使用 Glassbox 獲取用戶的隱私信息,包括服裝品牌 Abercrombie&Fitch 、Hollister、新加坡航空公司、Expedia、Hotels.com等,這些應用都沒有向用戶發送過允許獲取該類隱私信息的請求,也沒有在隱私政策中告知用戶存在這種行為。 Expedia、Hotels.com都是全球使用率較高的兩個酒店預定網站,使用者不乏中國用戶。
Glassbox是一家移動應用數據分析公司,通過給客戶的手機應用嵌入一種可以實現“會話重放”的 SDK 開發工具,來獲取用戶使用應用時的每個點擊和滑動屏幕的動作,並可以直接對用戶的操作進行錄屏。與常見的通過記錄瀏覽記錄、訂單等信息對用戶進行監控。不同的是,錄屏的方式會獲得用戶手機中更敏感的隱私信息。
App Analyst 的安全報告顯示,帶有 Glassbox 開發工具的加拿大航空手機應用會對用戶存儲的信用卡、支付密碼、郵箱及郵箱密碼等信息進行模糊處理或阻止對此類信息的收集,但 Glassbox 工具會在錄屏時直接存儲相關的信息截圖,這些截圖的存儲路徑未知,有可能是存儲在 Glassbox 的雲端也有可能是存在加拿大航空的數據庫中。
2018 年 8 月,加拿大航空曾發生過用戶隱私洩露事件,涉及 2 萬名用戶的護照、郵箱和電話等其它隱私信息。加拿大航空確認了洩露事件,但未說明具體洩露原因。
Glassbox 開發者工具涉及用戶隱私洩露的信息傳出後,Google Play 暫時還未對消息作出回應。
Glassbox 發佈聲明稱,它們的開發工具主要是用於幫助客戶測試用戶在使用移動應用時的體驗是否流暢,發現遇到的問題以排除故障,並相信客戶會對用戶的隱私信息進行保護。新加坡航空則表示數據收集符合他們的用戶隱私條款。
Glassbox 不是唯一一個使用錄屏方式為客戶提供“會話重放”的公司,Appsee、 UXCam 等移動應用數據分析公司都為客戶提供類似的開發輔助工具,這在行業中也幾乎是公開的秘密,但大多數用戶並不知情。 APPsee 和 UXcam 也都在中國有業務分部,網易、三星、711 等都是它們的客戶。
題圖:Visualhunt
閱讀更多 好奇心日報 的文章
