Os smartphones são uma parte essencial
do nosso cotidiano e, com a popularização das redes sociais, várias informações
pessoais foram sendo armazenadas nesses dispositivos, fazendo com que a
proteção desses dados se tornasse um assunto bastante importante.
Entretanto, foi descoberto recentemente
que muitas das grandes empresas, como a Air Canada, Hollister e Expedia,
estavam gravando cada toque e movimento que os usuários fazem em seus
aplicativos para iPhone. Na maioria dos casos, nem era possível perceber isso e
os programas sequer precisavam pedir permissão para tal. Portanto, pode-se
chegar à conclusão de que a maioria dos aplicativos coletam os seus dados e,
alguns, até monetizam eles sem o seu consentimento.
O TechCrunch encontrou vários
aplicativos populares para iPhone, como os de hoteleiros, sites de viagens,
companhias aéreas, operadoras de telefonia celular, bancos e de financiamentos,
que não perguntam e nem deixam claro que sabem exatamente como os usuários
estão usando seus aplicativos. Pior: apesar de esses aplicativos serem destinados
a esconder certos campos, alguns ainda expõem os dados confidenciais.
Em adição, aplicativos como
Abercrombie & Fitch, Hoteis.com e Singapore Airlines usam o Glassbox, uma
empresa de análise de experiência do cliente que também faz parte das poucas empresas
que permitem os desenvolvedores incorporarem a tecnologia “replay de sessão” em
seus aplicativos.
Esses replays permitem que os
desenvolvedores de aplicativos gravem a tela dos smartphones e as reproduzam
para ver como os usuários interagiram com o aplicativo, afim de descobrir se
algo não funcionou ou se houve um erro.
Cada toque, botão teclado ou apertado
são gravados e enviados para os desenvolvedores do aplicativo, assim como o
Glassbox disse em um tweet recente: "Imagine se o seu site ou aplicativo
móvel pudesse ver exatamente o que seus clientes fazem, em tempo real, e por
que eles fazem isso (...)."
O site The App Analyst, especialista
em dispositivos móveis, descobriu recentemente que o aplicativo da Air Canada
não estava mascarando corretamente os replays da sessão, expondo números de
passaporte e dados de cartão de crédito.
Dados não
criptografados enviados às empresas (Imagem: The App Analyst)
"Isso
dá aos funcionários da Air Canada, ou qualquer outra pessoa capaz de acessar o
banco de dados de gravações de tela, o poder de ver informações não
criptografadas de cartões de crédito e de senhas", disse o The App Analyst
ao TechCrunch.
O
TechCrunch solicitou que The App Analyst analisasse uma amostra de aplicativos
que o Glassbox listou em seu site como clientes. Usando o Charles Proxy, uma
ferramenta man-in-the-middle capaz de interceptar os dados enviados pelo
aplicativo, o site pôde examinar quais informações estavam vazando dos
dispositivos.
Como
resultado, descobriram que nem todo aplicativo estava protegendo os dados
importantes e, ainda, que nenhum dos aplicativos examinados havia informado que
estava gravando a tela do usuário. Pior ainda: nenhum notificou que que estava
enviando as imagens de volta para cada empresa ou diretamente para a nuvem do
Glassbox.
O site de
análise ainda afirmou que isso pode ser um problema se qualquer um dos clientes
do Glassbox não estiver criptografando os dados corretamente. "Como esses
dados costumam ser enviados de volta para os servidores do Glassbox, eu não
ficaria chocado se informações confidenciais e senhas bancárias já tiverem sido
capturadas“.
Glassbox 님의 다른 트윗 보기
Continuando, ele disse que embora
Hollister e Abercrombie & Fitch tenham enviado seus replays de sessão para
o Glassbox, outros como Expedia e Hoteis.com optaram por gravar e enviar esses
dados para servidores de domínio próprios. O The App Analyst ainda afirmou que
os dados eram "ofuscados na maioria dos casos", mas que puderam ver
alguns endereços de e-mail e códigos postais mesmo assim.
Os aplicativos que são enviados à App
Store precisam ter uma política de privacidade, mas nenhum dos aplicativos
analisados havia deixado claro que registrariam a tela do usuário. O Glassbox
não exige permissão especial da Apple e
nem do usuário. Portanto, não há como o usuário saber. Ou seja, sem analisar as
linhas de códigos de cada aplicativo, é impossível saber se algum deles está
gravando as telas do iPhone ou não.
O TechCrunch aprofundou a pesquisa e
viu que a política de privacidade da Expedia não mencionava a gravação da tela,
assim como o Hoteis.com. Em adição, no caso das companhias aéreas Air Canada e
Singapore Airlines, não foi possível identificar uma única linha nos termos e
condições do iOS, ou na política de privacidade, que sugerisse que o aplicativo
fosse enviar os dados da tela.
Logo em seguida, o site pediu a todas
as empresas que indicassem onde exatamente, em suas políticas de privacidade,
estava dizendo que os aplicativos capturam as ações que um usuário faz em seu
telefone.
Apenas a Abercombie respondeu
confirmando que o Glassbox “ajuda no suporte a uma experiência de compra
contínua, permitindo identificar e tratar quaisquer problemas que os clientes
possam encontrar em sua experiência digital”. O porta-voz da companhia, no
entanto, não fez nenhuma menção à política de privacidade, assim como a
Hollister.
"Acredito que os usuários devam
ter um papel ativo na maneira como compartilham seus dados, e o primeiro passo
para isso é fazer com que as empresas sejam francas em compartilhar como
coletam os dados de seus usuários e com quem eles compartilham", disse o
The App Analyst.
Quando questionada, o Glassbox
informou que não força os seus clientes a mencionarem o uso de sua solução nas
políticas de privacidade.
"O Glassbox tem uma capacidade
única de reconstruir a visualização de aplicativos móveis em um formato visual,
que é outra visão de análise. O Glassbox SDK só pode interagir com o aplicativo
nativo de nossos clientes e tecnicamente não pode quebrar o limite do
aplicativo", disse o porta-voz da empresa. Ele também afirmou que, quando
o teclado do sistema cobre parte do aplicativo nativo, “o Glassbox não tem
acesso a ele”.
O mercado de soluções que entregam o
replay de ações dos usuários de smartphones não é uma área que desaparecerá em
breve, até porque as empresas contam com esse tipo de serviço para entender o
motivo da quebra de alguns produtos, bem como pode servir de base para saber o
que pode custar caro em situações de alta receita. Entretanto, o fato de os
desenvolvedores de aplicativos não divulgarem isso apenas mostra o quão
assustador eles sabem que essa informação pode ser.
Fonte: www.canaltech.com.b
Nenhum comentário:
Postar um comentário