Muchas de las principales empresas, como Air Canada, Hollister y Expedia, están registrando cada toque y golpe que haces en sus aplicaciones de iPhone. En la mayoría de los casos ni siquiera te das cuenta. Y no necesitan pedir permiso.
Puede suponer que la mayoría de las aplicaciones recopilan nuestros datos. Algunos incluso monetizan sus datos sin su conocimiento. Pero TechCrunch ha encontrado varias aplicaciones populares para el iPhone, de hoteleros, sitios de viajes, aerolíneas, operadores de telefonía celular, bancos y financieros, que no preguntan ni aclaran el uso de esta información.
Peor aún, aunque estas aplicaciones están destinadas a enmascarar ciertos campos, algunos exponen datos confidenciales de manera inadvertida.
Glassbox registra todo en la nube
Aplicaciones como Abercrombie & Fitch, Hotels.com y Singapore Airlines también usan Glassbox, una empresa de análisis que se enfoca en la experiencia del cliente, una de las pocas compañías que permite a los desarrolladores integrar tecnología de “reproducción de sesión” en sus aplicaciones. Estas repeticiones de sesión permiten a los desarrolladores de aplicaciones grabar la pantalla y reproducirlas para ver cómo interactúan sus usuarios con la aplicación para averiguar si algo no funcionó o si hubo un error. Cada toque de botón y entrada de teclado se registra, se captura de forma efectiva, y se envía a los desarrolladores de aplicaciones.
Como lo menciono el propio Glassbox en un tweet reciente: “Imagina que tu sitio web o aplicación móvil pueda ver exactamente lo que hacen tus clientes en tiempo real y por qué lo hicieron”.
Air Canada la primera de la lista
The App Analyst, un experto móvil que escribe sobre sus análisis de aplicaciones populares en su blog del mismo nombre, recientemente descubrió que la aplicación para iPhone de Air Canada no ocultaba correctamente las repeticiones de la sesión cuando se enviaban, exponiendo los números de pasaportes y datos de tarjetas de crédito en cada sesión de repetición. Apenas unas semanas antes, Air Canada dijo que su aplicación tenía una violación de datos, exponiendo 20,000 perfiles.
“Esto permite que los empleados de Air Canada, y cualquier otra persona capaz de acceder a la base de datos de captura de pantalla, vean la información de la tarjeta de crédito y la contraseña sin cifrar”, dijo a TechCrunch.
Le pedimos a The App Analyst que examinara una muestra de aplicaciones que Glassbox había incluido en su sitio web como clientes. Usando Charles Proxy, una herramienta que se usa para interceptar los datos enviados desde cada aplicación, así el investigador podría examinar qué datos estaban saliendo del dispositivo.
No todas las aplicaciones filtraban datos enmascarados; ninguna de las aplicaciones que examinamos dijo que estaban grabando la pantalla de un usuario, y mucho menos enviándolas a cada compañía o directamente a la nube de Glassbox.
Información bancaria y contraseñas están expuestas
Eso podría ser un problema si alguno de los clientes de Glassbox no está ocultando los datos correctamente, dijo en un correo electrónico. “Dado que estos datos a menudo se envían de vuelta a los servidores de Glassbox, no me sorprendería si ya hubieran tenido instancias de que capturaron información bancaria y contraseñas confidenciales”, dijo.
El analista de aplicaciones dijo que mientras Hollister y Abercrombie & Fitch enviaban sus repeticiones de sesión a Glassbox, otros como Expedia y Hotels.com optaron por capturar y enviar datos de repetición de sesión a un servidor en su propio dominio. Dijo que los datos estaban “en su mayoría confusos”, pero en algunos casos vio direcciones de correo electrónico y códigos postales. El investigador dijo que Singapore Airlines también recopiló datos de repetición de sesión, pero los envió a la nube de Glassbox.
Sin analizar los datos de cada aplicación, es imposible saber si una aplicación está grabando las pantallas de un usuario de cómo la está utilizando. Ni siquiera lo encontramos en la letra pequeña de sus políticas de privacidad.
Un usuario promedio difícilmente sabrá que graban su pantalla
Las aplicaciones que se envían a la App Store de Apple deben tener una política de privacidad, pero ninguna de las aplicaciones que revisamos deja claro en sus políticas que registran la pantalla de un usuario. Glassbox no requiere ningún permiso especial de Apple o del usuario, por lo que no hay forma de que un usuario lo sepa.
La política de Expedia no menciona la grabación de su pantalla, ni la política de Hotels.com. Y en el caso de Air Canada, no pudimos detectar una sola línea en sus términos y condiciones de iOS o en su política de privacidad que sugiere que la aplicación de iPhone envía datos de pantalla a la aerolínea. Y en la política de privacidad de Singapore Airlines, tampoco hay ninguna mención.
Pedimos a todas las compañías que nos indicaran exactamente en qué parte de sus políticas de privacidad permite que cada aplicación capture lo que un usuario hace en su teléfono.
Abercrombie respondió, confirmando que Glassbox “ayuda a respaldar una experiencia de compra perfecta, lo que nos permite identificar y abordar cualquier problema que los clientes puedan encontrar en su experiencia digital”. El portavoz que señala la política de privacidad de Abercrombie no hace mención de las repeticiones de la sesión.
Air Canada utiliza la información para el beneficio de sus clientes
Después de que se publicó esta historia, Air Canada respondió: “Air Canada utiliza la información proporcionada por el cliente para garantizar que podamos satisfacer sus necesidades de viaje y para que podamos resolver cualquier problema que pueda afectar sus viajes”, dijo un portavoz. “Esto incluye la información del usuario ingresada en, y recogido en, la aplicación móvil de Air Canada. Sin embargo, Air Canada no puede, y no puede, capturar pantallas de teléfonos fuera de la aplicación de Air Canada “.
Expedia, que es propietario de Hotels.com, no devolvió una solicitud de comentarios.
“Creo que los usuarios deberían tener un papel activo en la forma en que comparten sus datos, y el primer paso para esto es que las empresas compartan de manera directa cómo recopilan los datos de sus usuarios y con quién los comparten”, dijo The App Analyst.
Las empresas confían en la tecnología de repetición de sesión
“Glassbox tiene una capacidad única para reconstruir la vista de la aplicación móvil en un formato visual, que es otra vista de los análisis. Puede interactuar solo con la aplicación nativa de nuestros clientes y, técnicamente, no puede romper el límite de la aplicación”, dijo el portavoz. como cuando el teclado del sistema cubre parte de la aplicación nativa, “Glassbox no tiene acceso a ella”, dijo el portavoz.
Glassbox es uno de los muchos servicios de reproducción de sesiones en el mercado. Comercializa activamente su tecnología de “grabación de usuario” que permite a los desarrolladores “ver su aplicación a través de los ojos de el usuario”, mientras que UXCam dice que les permite a los desarrolladores “ver grabaciones de las sesiones de sus usuarios, incluidos todos sus gestos y eventos desencadenados”. radar hasta que Mixpanel provocó la ira por la recolección errónea de contraseñas después de que fallara el enmascaramiento de las salvaguardas.
No es una industria que probablemente desaparezca pronto: las empresas confían en este tipo de datos de repetición de sesión para comprender por qué se rompen las cosas, lo que puede ser costoso en situaciones de altos ingresos.
