Glassbox丑闻将多家航空公司、酒店卷入漩涡!苹果:已禁止应用录屏分析用户
据TechCrunch调查报道,许多受欢迎的航空公司、酒店和零售应用程序会在用户不知情/未经同意的情况下参与截屏录制iPhone屏幕或页面。这种做法被称为“会话重播”(session replay)功能,通常需要聘请像Glassbox这样的第三方公司将这项技术嵌入移动应用程序中。
更糟糕的是,对于像加拿大航空公司(Air Canada)和其他旅游网站这样的应用,它将包括用户输入敏感信息的字段,如护照号码、信用卡号码以及其他财务和个人信息。
根据TechCrunch的说法,使用Glassbox技术的最广泛使用的旅行或零售APP都没有在隐私政策或类似的面向公众的文件中披露这一点。此外,似乎这些应用程序中的任何一个都没有以任何方式获得用户的同意。调查中提到的应用包括加拿大航空公司、服装品牌Abercrombie & Fitch及其Hollister子公司、Expedia、Hotels.com和新加坡航空公司等。Expedia、Hotels.com都是全球使用率较高的两个酒店预定网站,使用者不乏中国用户。
TechCrunch首先根据移动安全博客App Analyst发布的信息报告得出了以上调查结果。
尤其令人担忧的是,调查发现特别是加拿大航空公司等应用在将文件从用户移动设备发送到公司服务器时并没有进行适当的屏蔽。
虽然这似乎是移动应用行业中的一种常见做法,但令其特别担忧的是,App Analyst发现加拿大航空公司会专门在从移动设备发送到公司的时候没有正确屏蔽其会话重播文件。这意味着他们容易受到中间人攻击或其他类似拦截技术的攻击。早在去年8月,AirCanada报告其移动应用程序遭遇数据泄露,暴露了20,000个用户的个人资料数据,其中可能包括护照号码和其他敏感识别信息。
Glassbox不是唯一一个使用录屏方式为客户提供“会话重放”的公司。正如TechCrunch所指出的那样,为了分析目的而进行屏幕记录的APP都没有向用户透露这一点。这表明,可能会有许多其他iOS应用程序以及Android版本使用会话重放,并且通过应用程序记录的信息容易受到黑客或其他恶意第三方的攻击。Appsee、UXCam 等移动应用数据分析公司都为客户提供类似的开发辅助工具,这在行业中也几乎是“公开的秘密”,但大多数用户并不知情。
通过给客户的手机应用嵌入一种可以实现“会话重放”的SDK开发工具,可以获取用户使用应用时的每个点击和滑动屏幕的动作,并可以直接对用户的操作进行录屏。
在向媒体给出的一份声明中,Glassbox淡化了会话重播的“小动作”,并表示平台一直以来都严肃对待用户隐私:“Glassbox及其客户对‘窥探’消费者并不感兴趣,”该公司表示:“我们的目标是改善在线客户体验并保护消费者免受合规性的影响。”
自成立以来,Glassbox通过提供记录和分析网站和应用程序上用户活动的工具,帮助组织改善数百万客户体验。这些信息有助于公司更好地了解消费者如何使用他们的服务,以及他们在何处以及为何会难以突破和进展。
虽然众多公司收集此类数据可能并不令人惊讶,但它确实强调了这些大公司如何利用大多数移动应用用户对隐私,数据收集和应用分析的缺乏了解。担当《华尔街日报》此前曝光谷歌允许第三方电子邮件应用开发者阅读用户的Gmail邮件时,它引起了用户和国会议员的关注,他们基本上没有意识到这种做法,即使你可能合理地称之为行业标准。
在这种情况下,可能更少关于您在空闲时间使用Expedia应用程序的方式,以及更多关于Expedia不安全地将显示您的信用卡号码的视频发送回自己的服务器时所面临的潜在风险。
事实上,2018年8月,加拿大航空就曾发生过用户隐私泄露事件,涉及2万名用户的护照、邮箱和电话等其它隐私信息。当时加拿大航空确认了泄露事件,但未说明具体泄露原因。
Glassbox开发者工具涉及用户隐私泄露的信息传出后,Google Play暂时还未对消息作出回应。
苹果则更新了开发者指南,要求使用类似 Glassbox 开发工具的开发者,删除这类内嵌在应用里的分析工具或向用户明确披露这种工具对数据收集的方式,否则将从AppStore中移除该应用。
评论