TechCrunch刚刚养了一只(该死的)大兔子。我们的美国同事强调这是从加拿大航空、Hotels.com 或新加坡航空等知名公司窃取个人数据的最肮脏形式之一。没有可疑的第三方应用程序,而是非常大的公司,它们会分析您在 iOS 下的所有操作,但不会通知您。更糟糕的是,它可以以明文形式传输您的密码和其他银行卡信息。
在这起大丑闻的背后,并不是想要造成伤害,而是一种改进应用程序的分析方法。中间是分析工具,并在您不知情的情况下记录您的使用情况。又一起欺诈性使用我们数据的丑闻。
重播您使用该应用程序的情况...
这一切都始于这样一个事实:某些应用程序(例如 Abercrombie & Fitch 或上述应用程序)使用消费者行为分析工具(例如 Glassbox)。如果说改善用户体验的方法值得称赞,那么第一个丑闻就是了解 Glassbox 的服务是做什么的。它会记录每次按下、每次滑动、每次截取屏幕截图时执行的每个操作……然后根据其设置将其发送到自己的服务器或客户端的服务器。该工具的目的是提供应用程序使用情况的“重播”。
通过观看“重播”,公司或出版商可以更好地分析和了解其程序中哪些部分运行良好或运行不佳。我们什么时候意识到这种数据虹吸现象?绝不 !但还有更糟糕的。这些数据的传输和匿名化不一定是安全的……
…以纯文本形式提供信息
在移动应用程序专家的帮助下应用分析师,我们的同事来自TechCrunch透露隐藏敏感个人数据可能存在缺陷。在文章引用的案例中,应用分析师透露,对加拿大航空应用程序重播会话的屏蔽失败并没有隐藏银行详细信息,从而为恶意员工阅读和欺诈性使用此信息提供了机会。
这是一个失败的例子,我们最初有良好的意愿来隐藏信息。在应用分析师的帮助下,TechCrunch还发现一些应用程序甚至没有应用数据隐藏过滤器。给拦截数据的第三方留下了获取屏幕上显示的所有内容的可能性。
用户从未收到通知
TechCrunch研究了法律声明,文章中提到的任何应用程序都没有在其使用条件中指定这种行为记录。向我们的同事做出回应的两家公司——Abercrombie & Fitch 和加拿大航空——对含糊的解释感到满意。据他们称,Glassbox 服务仅用于“提高用户体验”等等 «不要记录应用程序之外的任何内容»(仍然很高兴!)。没有借口,没有我的错。我们不会告诉您任何事情,也不会道歉。
如果这一丑闻在 iOS 上得到强调,那么 Glassbox 的服务及其竞争对手(Appsee、UXCam、Mixpanel 等)似乎很可能会受到影响。 – 也适用于 Android正如所指出的边缘。现在需要谷歌,尤其是苹果公司,它始终充当我们隐私权的白衣骑士,来建立工具来纯粹地、简单地防止我们的数据被不加区别地收集。
