Según informan desde TechCrunch, algunas empresas bastante conocidas como Air Canada, Hollister o Expedia "están grabando cada toque y pulsación que los usuarios hacen en sus aplicaciones", todo ello sin que el usuario lo sepa y sin pedir permisos de ningún tipo.
Según el medio, estas aplicaciones cuentan con un SDK llamado Glassbox que graba las sesiones de los usuarios y permite reproducirlas a posteriori, de forma que el desarrollador puede ver cómo el usuario interactúa y navega por la interfaz. Para más inri, si bien el SDK debería enmascarar los datos importantes como los números de cuenta, información de la tarjeta o códigos postales, no lo hace en algunas ocasiones, permitiendo así que el desarrollador acceda a todos los datos del usuario.
Ninguna aplicación informaba de la grabación
Desde TechCrunch se pusieron en contacto con The App Analysts para que examinará algunas aplicaciones que Glassbox tiene listadas en su web como clientes. Usando Charles Proxy, un sistema de ataques man in the middle, descubrieron que, si bien no todas las aplicaciones estaban filtrando información privada, ninguna avisaba de que estaba grabando la pantalla y que esa información estaba siendo enviada a la nube de Glassbox.
Si la empresa que está usando el SDK de Glassbox no lo ha configurado bien y no oculta correctamente los datos privados del usuario, es posible que se puedan interceptar grabaciones en las que se vean datos bancarios y contraseñas, con los riesgos para la privacidad que ello puede suponer.
The App Analyst pone el ejemplo de Expedia y Hotels.com, que en lugar de mandar las grabaciones a la nube de Glassbox optaban por un servidor propio y que, aunque los datos estaban "mayormente ocultos", en algunos casos se pudo acceder a correos electrónicos y direcciones físicas. Hollister, Abercrombie & Fitch y Singapore Airlines también usan este sistema, aunque optan por mandar las capturas a la nube de Glassbox.
El problema es que no es posible detectar que la sesión está siendo grabada salvo que analices los datos de todas las aplicaciones, ya que no requiere de permisos adicionales por parte del usuario. De hecho, tras haber investigado las políticas de privacidad de todas las aplicaciones, no se ha detectado ni una sola línea que especifique la grabación de la sesión.
En estas capturas de la app de Air Canada puede verse cómo el sistema falla y muestra las credenciales del usuario.
Abrecrombie respondió diciendo que usan este sistema para "conseguir una experiencia de compra superior" y "detectar fallos y problemas que el usuario pueda encontrar durante la sesión", aunque no mencionan nada sobre la grabación en sí misma. Lo mismo con Hollister. Air Canada, por su parte, declaró algo similar y afirmó que ni captura ni puede capturar información de la pantalla fuera de su app.
Glassbox, por su parte, dice que no obliga a sus clientes a mencionar que su sistema está siendo usado en su política de privacidad. "El SDK de Glassbox solo puede interactuar con las aplicaciones de los clientes y técnicamente no puede romper las barreras de la app". Además, dicen, Glassbox no tiene acceso al teclado cuando este cubre la aplicación (es decir, cuando el usuario escribe).
En un comunicado a Techcrunch, Apple ha dicho que "Hemos notificado a los desarrolladores que infringen estos estrictos términos y pautas de privacidad, y tomaremos medidas inmediatas si es necesario". De acuerdo a las políticas de privacidad de la App Store, "las aplicaciones deben solicitar el consentimiento explícito del usuario y proporcionar una clara indicación visual al grabar, registrar o realizar un registro de la actividad del usuario".
Glasxbox, por su parte, dijo en MacRumors que "Glassbox y sus clientes no están interesados en espiar a los consumidores. Nuestros objetivos son mejorar las experiencias de los clientes en línea y proteger a los consumidores desde una perspectiva de cumplimiento " y que "brindamos a nuestros clientes la capacidad de enmascarar cada pieza de datos ingresada por un consumidor, restringir el acceso a los usuarios autorizados y mantener un registro de auditoría completo de cada usuario que accede al sistema".
Vía | TechCrunch
Ver 7 comentarios