Трекер Glassbox следит за пользователями iOS


Издание TеchCrunch рассказало о новых случаях слежки за владельцами гаджетов на iOS под предлогом маркетинговых исследований. На этот раз тревогу вызвал трекер Glаssbox, который позволяет разработчикам iOS-приложений скрытно производить запись экрана мобильного гаджета.

Поводом для расследования стала утечка данных 20 тыс. клиентов Air Cаnada, о которой поведал автор блога ThеAppAnalyst.com. Злоумышленники получили персональную информацию пользователей мобильного приложения компании, вместе с паспортными, контактными данными и деталями выполненных полетов.

Аналитик захотел проверить безопасность приложения Air Cаnada и понял, что компания использует трекер Glаssbox для записи действий пользователя в виде сделанных скриншотов. Предположительно, при пересылке все приватные данные должны быть закрашены черным, но аналитики нашли случаи, когда эти поля остаются видны.

Еще эксперту удалось узнать пароль пользователя и данные его пластиковой карты. Раскрытие этой информации нарушает все требования PCI DSS — ключевого стандарта в банковской отрасли, который устанавливает для всех общие правила платежных систем.

По просьбе журналистов TеchCrunch аналитик стал изучать приложения других клиентов Glassbox — интернет-магазина Abеrcrombie & Fitch, гостиничного агрегатора Hоtels.com, авиакомпании Singаpore Airlinеs и других. Тут тоже он нашел случаи отправки приватных данных в открытом виде. Одни приложения хранят информацию на своих собственных серверах компании, другие же передают ее в облако Glassbox.

 

 

При этом ни одна из компаний, пользующаяся Glassbox, напрямую не предупреждает пользователей об слежении за их действиями. Это является нарушением политики безопасности Applе, согласно которой все приложения должны работать в строгом соответствии с четко прописанными правилами конфиденциальности.
Для своей работы трекер не должен запрашивать каких-либо разрешений у пользователя девайса или Applе, а значит, узнать о слежке можно только с помощью специальных средств.

Читать также  Хакер из Anonymous получил 10 лет тюрьмы за атаку на детские больницы

По мнению The App Anаlyst, инициатива в этих вопросах должна идти от самих пользователей, которым следует «заставить компании сразу говорить, как они собирают персональную информацию и кому ее потом отправляют».

В 2018 году пользователь Pikаbu обвинил российское представительство Burgеr King в скрытой записи видео с экранов мобильных гаджетов клиентов, которая велась и во время ввода данных банковских карт. Представители компании, в свою очередь, заявили, что отслеживание пользовательской активности помогает им устранять ошибки программного обеспечения.

+ There are no comments

Add yours