contador gratis Saltar al contenido

Las aplicaciones de iPhone registran cada movimiento y toque del usuario

septiembre 17, 2020

Algunas aplicaciones de iPhone, tienen en cuenta cualquier interacción o movimiento del usuario dentro de la aplicación, sin proporcionar ninguna indicación específica al usuario de lo que sucede sin su conocimiento.

Así lo informó el sitio web TechCrunch que identificó en aplicaciones de compañías como Abercrombie & Fitch, Hotels.com, Air Canada, Hollister, Expedia y Singapore Airlines, el uso de Glassbox, un analítica que permite a los desarrolladores reproducir todo lo que el usuario ha hecho con la aplicación, un mecanismo llamado “repetición de sesión”.

Este mecanismo de reproducción de sesión permite a los desarrolladores estudiar el comportamiento del usuario, reproduciendo todo lo que hace un usuario mientras usa una aplicación para comprender cómo interactúan y si algo está mal o es ininteligible. Cualquier toque (toque), pulsación de botones virtuales e incluso lo que se escribe en el teclado se puede grabar y enviar a los desarrolladores.

Glassbox, en un tweet reciente, escribe: “Imagínese si su sitio web o aplicación móvil pudiera ver en tiempo real qué está haciendo exactamente el usuario y por qué lo está haciendo”. App Analyst, expertos en el sector móvil que recientemente han analizado varias aplicaciones en el blog del mismo nombre, han identificado recientemente que la aplicación de Air Canada para iPhone no enmascara correctamente la repetición de la sesión antes de que se envíen los datos, poniendo datos como el número de datos de pasaporte y tarjeta de crédito. Una semana antes, la aerolínea Air Canda reveló una “violación de datos” (un incidente de seguridad en el que datos sensibles, protegidos o confidenciales son consultados, copiados, transmitidos, robados o utilizados por una persona no autorizada), poniendo 20.000 Perfiles

“Esto permite que los empleados de Air Canada, y cualquier otra persona que pueda acceder a la base de datos de capturas de pantalla, vean información de pasaportes y tarjetas de crédito sin cifrar”, dice App Analyst.

TechCrunch le pidió a App Analys que echara un vistazo a una muestra de aplicaciones de empresas que Glassbox enumera en su sitio como clientes. Usando Charles Proxy, un hombre en el medio (que se puede aprovechar para interceptar la comunicación entre dos partes que creen que se están comunicando directamente entre sí), fue posible examinar qué datos se intercambian entre el dispositivo y el servicio. No todas las aplicaciones permiten que terceros obtengan datos enmascarando la comunicación correctamente. En cualquier caso, ninguna de las aplicaciones examinadas ha indicado al usuario el registro en curso de la actividad en curso en la pantalla del usuario, permitiendo el envío de estos datos directamente a las empresas oa la nube Glassbox.

Este comportamiento podría generar problemas si los clientes de Glassbox no enmascaran los datos correctamente, explicó el consultor de App Analyst por correo electrónico. “Dado que los datos a menudo se envían de vuelta a los servidores Glassbox, no me sorprendería que ya tuvieran instancias capturadas con datos confidenciales, como información bancaria y contraseñas”. App Analys informa que aunque Hollister y Abercrombie & Fitch envían sesiones de actividad a Glassbox, otras aplicaciones como Expedia y Hotels.com capturan los datos y envían las sesiones a servidores vinculados a sus dominios. Los datos en cuestión están “en su mayoría confusos”, pero en algunos casos es posible localizar direcciones de correo electrónico y códigos postales. Según el investigador, Singapore Airlines recopila datos relacionados con la sesión pero no los envía a la nube Glassbox.

Las aplicaciones enviadas por los desarrolladores para su publicación en la App Store deben adherirse a reglas de privacidad específicas, pero ninguna de las aplicaciones revisadas por TechCrunch establece claramente sus políticas de privacidad e informa la grabación de actividad en pantalla. Glassbox explica que los desarrolladores no están obligados a mencionar tales actividades en las indicaciones de la política de privacidad. ?Glassbox ofrece una capacidad única para reconstruir la vista de la aplicación móvil en forma visual, una visualización adicional de la analítica. El SDK de Glassbox solo puede interactuar con nuestra aplicación de cliente nativa y, técnicamente, no puede romper los límites de la aplicación ?, dijo un portavoz de la empresa, que indicó que no tienen acceso a elementos como los datos escritos en el teclado.

Glassbox es solo uno de los muchos servicios de reproducción de sesiones. Appsee es, por ejemplo, un servicio diferente, anunciado como un mecanismo de “grabación de usuario” que permite a los desarrolladores “ver la aplicación con los ojos del usuario”; UXCam es otro servicio que se ofrece a los desarrolladores para “ver grabaciones de sesiones de usuario, incluidos todos los gestos y eventos activados”.

No son solo las aplicaciones las que ven todo lo que hace el usuario, sino también en la web muchos de los sitios más grandes e importantes, utilizan software de terceros para seguir todos los movimientos de los usuarios, incluido lo que se escribe, dónde hacen clic. o cuando te sacudes. Este tipo de servicios son capaces de recopilar información que no es necesariamente útil para los desarrolladores y que en teoría podría ser aprovechada por terceros para recopilar datos sensibles como condiciones de salud, tarjetas de crédito y otros datos personales. La Universidad de Princeton abordó hace algún tiempo el fenómeno, subrayó que estos servicios activan mecanismos que permiten que el software se comporte como si estuvieran “siempre detrás de nosotros”, con todo lo que sigue.