Множество популярных iPhone приложений от крупных компаний используют навязчивые аналитические сервисы, которые без ведома пользователей собирают подробные данные, такие как нажатия, свайпы и даже записи экрана, сообщает TechCrunch.

Среди приложений, использующих Glassbox, фирмы по аналитике клиентского опыта, значатся Abercrombie & Fitch, Hotels.com, Air Canada, Hollister, Expedia и Singapore Airlines. Glassbox позволяет разработчикам использовать в своих приложениях технологию записи экрана «session replay» (воспроизведение сеанса).

Функция воспроизведения сеанса позволяет разработчикам делать скриншоты или записывать экран пользователя, а затем просматривать эти записи, чтобы понять, как пользователи взаимодействуют с их приложениями. Нажатия, нажатия кнопок и ввод данных с клавиатуры — всё это фиксируется и предоставляется разработчикам приложений.

Некоторые приложения, такие как Air Canada, не маскируют должным образом записываемые данные, раскрывая такую информацию, как номера паспортов и данные кредитных карт. Сотрудники Air Canada, имеющие доступ к базе данных скриншотов, могут легко просмотреть эти данные.

TechCrunch попросил эксперта по мобильным приложениям The App Analyst изучить некоторые приложения, которые Glassbox перечисляет в качестве своих клиентов. Не все приложения утекали с маскированными данными, и большинство, по-видимому, были обфусцированы, но были случаи, когда были видны адреса электронной почты и почтовые индексы.

«Поскольку эти данные часто отправляются на серверы Glassbox, я не удивлюсь, если у них уже были случаи захвата конфиденциальной банковской информации и паролей», — заявил The App Analyst изданию TechCrunch.

Как отмечает TechCrunch, у всех приложений есть политика конфиденциальности, но ни одно из них не указывает на то, что они записывают экран пользователя. Glassbox не требует специального разрешения от Apple или пользователя для записи экрана, и без проверки конкретных данных приложения невозможно узнать, занимается ли приложение этим.

Glassbox также не требует от своих клиентов упоминать использование функции записи экрана в своих политиках конфиденциальности.

«Glassbox обладает уникальной возможностью реконструировать вид мобильного приложения в визуальном формате, что является еще одним аспектом аналитики. SDK Glassbox может взаимодействовать только с нативными приложениями наших клиентов и технически не может выходить за пределы приложения», — заявил представитель компании, например, когда системная клавиатура закрывает часть нативного приложения. «У Glassbox нет доступа к этому», — добавил представитель.

Существуют и другие аналитические компании, которые практикуют аналогичные действия, что и Glassbox, такие как Appsee и UXCam, и, судя по их спискам клиентов, многие крупные компании используют подобные технологии. Такой вид отслеживания также не ограничивается приложениями для iOS — он может осуществляться и в интернете.

Поскольку нет никакого способа обнаружить, что это происходит, всё, что остается делать клиентам, — это отказаться от использования приложений и услуг компаний, которые уличены в подозрительных аналитических практиках без четкой политики конфиденциальности.