Ett antal populära flygbolag, hotell och detaljhandel apps engagera sig i praktiken att registrera din iPhone skärm utan din vetskap eller samtycke, enligt en undersökning från TechCrunch. Den praxis, som kallas session spela upp, vanligtvis innebär att anställa en utomstående företag, i detta fall analytics företag Glassbox för att bädda in tekniken i en mobil app.
Från det, Glassbox s programvara registrerar varje gång du gör i appen, samt att ta skärmdumpar längs vägen. Ännu värre är att, för apps som Air Canada och andra resewebbplatser, detta inkluderar de fält där användaren matar in känslig information som pass nummer, kreditkortsnummer och annan finansiell och personlig information.
Enligt TechCrunch, ingen av de som används mest för att resa eller företag som säljer appar som man kan hitta som är anställda Glassbox teknik upplysa om detta i en sekretesspolicy eller liknande offentlig handling. Dessutom verkar det inte som att någon av dessa apps har fått medgivande från användaren på något sätt. Bland de appar som nämns i den undersökning är Air Canada, Abercrombie & Fitch och Hollister dotterbolag, Expedia, Hotels.com och Singapore Airlines, bland andra. TechCrunch som bygger sin rapport på information ojordade första av Appen Analytiker, en mobil säkerhet blogg.
Air Canada ‘ s app inte riktigt mask session repriser som ingår känslig info
Samtidigt som det tycks vara vanligt förekommande på den mobila app-branschen, vad som gör det särskilt oroande är att Appen Analytiker upptäckte att Air Canada i synnerhet var inte riktigt dölja sin session replay filer när de skickas från en mobil enhet till företagets servrar, vilket innebär att de är utsatta för en man-in-the-middle-attack, eller andra liknande avlyssning teknik. Tillbaka i augusti förra året, AirCanada rapporterade att dess mobila app drabbats av ett dataintrång, utsätta 20,000 användares profil data som ingår passnummer och andra känsliga identifiera info.
Som TechCrunch anteckningar, ingen av de appar som engagerar i tv inspelning för analytics ändamål att lämna ut denna till användare. Det antyder att det kan finnas ett antal andra iOS-appar, liksom Android-versioner också att använda session repriser, och på ett sådant sätt som inte lämnar den information som registreras genom appen utsatt för en hacker eller andra skadliga tredje part.
Och även om det kanske inte är så förvånande att många företag ute samla in denna typ av data, det gör att belysa hur dessa stora företag utnyttjar bristen på förståelse de flesta mobila app-användare har runt integritet, insamling av data, och app analytics. När Wall Street Journal avslöjade att Google låter tredje part e-app-utvecklare att läsa din Gmail-meddelanden, det orsakade en uppståndelse från användare och medlemmar av Kongressen som var i stor utsträckning omedvetna om praktiken, även om man kan rimligen kallar det standard inom branschen.
I detta fall, det kan vara mindre om intrång i hur du använder, säg, Expedia app på din fritid och mer om den potentiella risk som du ställs inför när du Expedia osäkert skickar en video som visar ditt kreditkortsnummer tillbaka till sina egna servrar.