Приложения крупных компаний — авиаперевозчиков, туроператоров и других — скрыто записывали данные с экранов владельцев смартфонов. Об этом сообщили эксперты портала TechCrunch, выяснившие этот факт, проведя собственное расследование. Компании использовали аналитический сервис Glassbox, который позволяет "видеть то, что ваши клиенты делают в приложении", как обещают создатели технологии. Apple поставила ультиматум разработчикам: предупреждать пользователей об этом способе сбора данных или удалить продукт из App Store. ТАСС вместе с экспертами разобрался в том, насколько повсеместно разработчики используют Glassbox и какие риски это несет для потребителей.
Как работает аналитический сервис Glassbox
Glassbox — это продукт израильской команды, он появился в 2010 году. У стартапа есть офисы в Тель-Авиве, Лондоне и Нью-Йорке. На сайте компании говорится, что продукт помогает владельцам приложений "видеть", как клиенты работают внутри платформы, и понимать, соответствуют ли их действия изначальной задумке. Разработчики, исходя из этой информации, могут улучшать свои сервисы под потребности пользователей.
Технически Glassbox попросту записывает видео работы клиента в приложении — фиксируется любое нажатие кнопки и свайп по экрану. Такие "повторы" клиентских сессий отправляются владельцам платформы.
"Возможно, сервис делает скриншоты, которые потом склеивает, но в итоге разработчик получает видео, — уточняет Аким Касабулатов, разработчик мобильных приложений для App Store. — И пользователи в этом случае не анонимны. Получатель знает, кто "автор" этой сессии. Допустим, вы покупали билеты через приложение авиакомпании — создатель платформы мог видеть, как вы "двигались" по его сервису: выбирали даты, рейсы, места и переходили к оплате. Что важно — никто не может и не должен видеть данные банковской карты и паспортные данные, которые вы вводите в специальных полях. Эти поля зашифрованы — визуально "замазываются" черными полосами. Но в случае ошибки разработчики могли видеть и такую конфиденциальную информацию, и более того — эти данные могли быть скомпрометированы в результате утечки".
По его данным, сервис Glassbox используется неповсеместно. "Речь идет о нескольких десятках приложений, — продолжает он. — А в App Store их больше миллиона. Но Glassbox — это не все, есть и другие аналитические системы. Сервис Appsee, например, работает примерно таким же образом. Разработчики платят деньги за использование этих аналитических продуктов. Обслуживание может стоить до нескольких тысяч долларов в месяц. Каждый разработчик хочет анализировать поведение своих клиентов, но чаще мы используем бесплатные "аналитики" — такие сервисы не "снимают" скриншоты, а предоставляют отчеты в текстовом виде, в графиках, диаграммах, и пользователи при таком раскладе — анонимны".
Насколько опасны "следящие" сервисы
В списке партнеров на сайте Glassbox — чуть более десятка компаний. Российских брендов среди них нет. Эксперты считают, что у стартапа больше клиентов, но далеко не все согласны рассказывать, что "следят" за потребителями.
"Можно было предположить, что пользователи отреагируют негативно и на сам факт, и на то, что их не предупреждали о таком сборе данных, — считает Сергей Вильянов, индустриальный аналитик. — В действительности история "раздута". Сервис не может записывать действия за пределами приложения, где он внедрен. Если вы покупаете билеты, а параллельно пользуетесь другими приложениями или переписываетесь в мессенджерах — сервис не "видит" ваших действий на посторонних платформах. Кстати, на платформе iOS вообще нет открытой файловой системы — разработчик не имеет доступ к другим приложениям. Платежные и паспортные данные достаточно хорошо "шифруются". Да, есть вероятность ошибки и вероятность утечки персональных данных, но так может случиться независимо от того, использует ли разработчик "следящие" сервисы, прямой связи — нет, устанавливая приложение, вы даете владельцу платформы доступ к ряду сведений о вас. А также утечка может случиться не по вине разработчика операционной системы и приложения, а уже на стадии хранения".
Как понять, что приложение "следит" за вами
"В этом и проблема — обычный пользователь не может узнать, что приложения используют следящий трекер, если они не спрашивают при установке разрешения на это, — продолжает Аким Касабулатов. — Сейчас разве что можно зайти в App Store и посмотреть, каких приложений из тех, которыми вы пользовались, там больше нет. Или же можно предположить, что часть платформ, выпустивших обновления в течение суток после ультиматума Apple, — это те сервисы, которые также записывали наши данные".
Иногда понять, что платформа внедрила какой-либо аналитический сервис, можно, пробежавшись по пользовательскому соглашению, добавляет Касабулатов.
Посмотреть, какие права вы раздали разработчикам, можно внутри приложений или в App Store и Google Play.
"Еще, когда вы настраиваете новый смартфон, программа спрашивает: "Готовы ли вы делиться данными с разработчиками приложений?", "Готовы ли вы делиться персональными данными, например, с Apple?". Всегда смотрите, что вы разрешаете гаджетам", — говорит Сергей Вильянов.
"Следящие аналитические сервисы — это не главная опасность, — продолжает Аким Касабулатов. — Пользователи часто разрешают приложениям доступ к таким данным, которые должны быть надежно спрятаны, причем дают эти права осознанно. Пример — это приложение GetContact, которое было популярно в прошлом году. Пользователь мог посмотреть, как его номер телефона записан у разных людей. Люди развлекались и тем самым позволяли приложению "смотреть" свою телефонную книгу".
То, что произошло с приложениями, использующими Glassbox, и реакция Apple — это важный прецедент, считают эксперты.
"Аналитические сервисы будут развиваться, но с учетом потребностей клиентов в безопасности личных данных. А компании станут больше стремиться обеспечить максимальную приватность пользователей, — считает Аким Касабулатов. — Защита персональных данных — тренд на ближайшие годы. Потребители будут лояльны к разработчикам, сумевшим заработать хорошую репутацию в этой области".
Анастасия Степанова