Компании «подглядывают» за своими клиентами через мобильные приложения

Ресурс TechCrunch раскрыл достаточно неприятную практику, к которой прибегают многие крупные компании, выпуская собственные мобильные приложения. Они фактически шпионят за своими пользователями, позволяя приложениям делать снимки экрана и отправлять их на серверы компаний. Официально эта техника носит название session replay (повторное воспроизведение сеанса) и призвана служить вполне благой цели: диагностике и оптимизации работы приложений. Однако в реальности на скриншотах оказываются в том числе и конфиденциальные персональные данные пользователей, включая пароли их аккаунтов и номера банковских карт.

Пока функция session replay обнаружена лишь в приложениях для мобильных устройств от Apple -  например, авиакомпаний Air Canada и Singapore Airlines, сервиса бронирования отелей Hotels.com, производителя модной одежды Abercrombie & Fitch и множества других компаний, включая банки и операторов мобильной связи. Все их приложения используют ПО разработчика Glassbox, которое и обеспечивает функцию session replay. При этом ни одно из приложений не сообщает в пользовательском соглашении о том, что делает скриншоты и отправляет их на сторонние серверы. Это можно рассматривать как прямое нарушение политики конфиденциальности, действующей в AppStore. Кроме того, это способно представлять серьезную угрозу для пользователя. Исследователи уже установили, что на серверы Air Canada скриншоты пересылаются без должной защиты, и в случае успешной атаки по типу man-in-the-middle в руках злоумышленников могут оказаться такие конфиденциальные данные, как номера паспортов и банковских карт пассажиров.

Источник: TechCrunch