Aplikacje dla iOS potajemnie nagrywały ekran. Nawet w czołówce nie jest bezpiecznie
Kilka aplikacji dla iPhone'ów zostało przyłapanych na gorącym uczynku – bez wiedzy użytkowników nagrywały, co dzieje się na ekranie. W tej sytuacji zaskakujące jest to, że nie były to pseudoaplikacje przygotowane specjalnie do zbierania danych, ale bardzo popularne narzędzia, powiązane z turystyką.
08.02.2019 | aktual.: 08.02.2019 15:03
Analityka vs. bezpieczeństwo
Producenci tych aplikacji chcieli lepiej zrozumieć, w jaki sposób użytkownicy posługują się ich narzędziami i trudno ich za to winić. Zbieranie danych analitycznych jest ważną częścią rozwijania oprogramowania używanego przez dziesiątki tysięcy osób. Dlatego kilka firm, w tym linie lotnicze, zdecydowało się zaimplementować narzędzia analityczne, zbierające… praktycznie wszystko – każde dotknięcie, znak wpisany w pole tekstowe, a także zrzuty ekranu.
Użytkownicy nie byli o tym wprost informowani i nie mieli pojęcia, że ich dane, czasami także wrażliwe, były wysyłane na zewnętrzne serwery. Wśród wpisanych ciągów znaków zdarzały się hasła, dane osobowe i numery kart kredytowych bez odpowiedniego zabezpieczenia, uniemożliwiającego odczytanie ich przez osoby trzecie.
Nie wymagało to naruszania zabezpieczeń systemu firmy Apple, która też nie jest bez grzechu. Wszystko odbywało się zgodnie z zasadami App Store. Narzędzia analityczne po prostu sprytnie wykorzystują możliwości iOS-a, by zbierać jak najwięcej danych. W użyciu był między innymi Glassbox – narzędzie do oceny doświadczeń użytkownika, które pozwala autorom aplikacji korzystać z funkcji session replay (odtwarzanie sesji). Deweloperzy mogą wtedy zobaczyć, jak ich aplikacje są wykorzystywane i dokładnie ocenić, co poszło nie tak w ciągu danej sesji i czy mogą coś jeszcze poprawić w interfejsie aplikacji.
Dla użytkowników jest to jednak niekorzystne, gdyż Glassbox zbiera także zrzuty ekranu i przesyła je klientowi za pośrednictwem własnej chmury. Dane bywały kiepsko „zasłonięte” i niektóre można było odczytać. Poniżej możecie zobaczyć przykładowe nagranie sesji Glassbox z apikacji Air Canada. jak widać, nie wszystkie pola z hasłami i numerami zostały zakryte.
Air Canada Session Screenshots
Air Canada wpada podwójnie
Linie lotnicze Air Canada zawiniły tym, że transmisja danych z wrażliwymi danymi klientów, łącznie z numerami paszportów i kart kredytowych, nie była odpowiednio zabezpieczona. Autorzy aplikacji stosowali „czarne pola” do zasłaniania wrażliwych danych na zrzutach ekranu, ale zapomnieli dodać je na niektórych ekranach. Nie można było na przykład odtworzyć hasła z widoku logowania, ale z widoku odzyskiwania hasła jak najbardziej. Na szczęście nie ma mowy o tym, by ujawnione w ten sposób dane zostały przez kogoś niecnie wykorzystane, ale mimo wszystko jest to niepokojące.
Ponadto, niedawne włamanie do Air Canada ujawniło 20 tys. profili użytkowników.
Co można zrobić?
Nie wszystkie z wymienionych wyżej aplikacji źle zabezpieczały dane, ale wszystkie nie informowały prawidłowo o zbieranych danych analitycznych. Na liście aplikacji, które dopuściły się tego procederu, znalazły się między innymi Expedia, Hotels.com i wspomniane już linie lotnicze Air Canada, TechCrunch wymienia również aplikacje bankowe i operatorów komórkowych. W ich politykach prywatności nie było wzmianki o tak agresywnej telemetrii. Szczęśliwie Glassbox nie może przekroczyć uprawnień aplikacji i robić zrzutów ekranu w innych miejscach.
Czy możemy się jakoś bronić? Prawdopodobnie jedynym sposobem jest zablokowanie połączeń z chmurami narzędzi analitycznych (na przykład glassbox.aircanada.ca). Można to relatywnie łatwo zrobić na swoim domowym routerze, ale co jeśli łączymy się z innej sieci? Najlepiej by było tego nie robić. Niestety Apple nie pozwala zewnętrznym programistom ingerować w system na poziomie wymaganym do napisania aplikacji pełniącej funkcję zapory sieciowej.