En række populære flyselskab, hotel og detail-apps engagere sig i praksis at registrere din iPhone skærm med din viden eller samtykke, ifølge en undersøgelse fra TechCrunch. Den praksis, der er kendt som session afspilning, typisk indebærer ansættelse af en tredjeparts-firma, i dette tilfælde er analytics-firmaet Glassbox, at integrere teknologi i en mobil app.
Fra der, Glassbox ‘s software registrerer hver handling, du tager i app’ en, såvel som at tage billeder undervejs. Endnu værre er, at for apps som Air Canada og andre rejse steder, dette indeholder de felter, hvor brugere input følsomme oplysninger som pas-numre, kreditkortnumre og andre finansielle og personlige oplysninger.
Ifølge TechCrunch, at ingen af de mest udbredte rejse eller detail-apps, der kan det finde, at der er ansat Glassbox teknologi oplyse dette i en politik eller lignende offentligt dokument. Derudover, det virker ikke, som om nogen af disse apps har fået samtykke fra brugeren på nogen måde. Blandt de apps, der er nævnt i undersøgelsen, omfatter Air Canada, Abercrombie & Fitch og dens Hollister datterselskab, Expedia, Hotels.com og Singapore Airlines, blandt andre. TechCrunch har baseret sin betænkning om information afdækket første af App ‘ en Analytiker, en mobil sikkerhed blog.
Air Canada ‘ s app ikke korrekt maske session replays, at der indgår følsomme oplysninger
Mens dette kunne synes at være en almindelig praksis i den mobile app-branchen, hvad der gør det særligt bekymrende er, at App ‘ en Analytiker opdagede, at Air Canada i særdeleshed var ikke korrekt at skjule sin session afspille filer, når de er sendt fra en mobil enhed til virksomhedens servere, hvilket betyder at de er sårbare over for et man-in-the-middle-angreb eller andre lignende aflytning teknik. Tilbage i August sidste år, AirCanada rapporterede, at dets mobile app har lidt et brud på datasikkerheden, og udsætter 20.000 brugere’ profil data, der kan inkluderet pasnummer og andre følsomme identificere info.
Som TechCrunch noter, der er kendt af de apps, der deltager i tv-optagelse til analytics formål videregive dette til brugerne. Det tyder på, at der kan være en række andre iOS-apps, samt Android versioner også at bruge session replays, og på en måde, der efterlader de oplysninger, der registreres via app sårbare over for en hacker eller anden ondsindet tredjepart.
Og mens det måske ikke så overraskende, at mange virksomheder ud, der indsamler denne type af data, betyder det fremhæve, hvordan disse store selskaber udnytte den manglende forståelse af de fleste brugere af mobilapps har omkring privatlivets fred, indsamling af data og app analytics. Når Wall Street Journal afsløret, at Google lader tredjeparts e-mail-app-udviklere læse dine Gmail-meddelelser, er det forårsaget et ramaskrig fra brugerne og medlemmerne af Kongressen, der stort set var uvidende om den praksis, selvom du med rimelighed kalde det standard i branchen.
I dette tilfælde, er det måske mindre om indbrud i, hvordan du bruger, siger, Expedia app i din fritid og mere om den potentielle risiko, du står over for, når Expedia usikkert sender en video, der viser dine kreditkort nummer tilbage til sine egne servere.