Aplicaciones de iOS graban la pantalla del iPhone sin que el usuario lo sepa, según TechCrunch

Según informan desde TechCrunch, algunas empresas bastante conocidas como Air Canada, Hollister o Expedia “están grabando cada toque y pulsación que los usuarios hacen en sus aplicaciones”, todo ello sin que el usuario lo sepa y sin pedir permisos de ningún tipo.

Según el medio, estas aplicaciones cuentan con un SDK llamado Glassbox que graba las sesiones de los usuarios y permite reproducirlas a posteriori, de forma que el desarrollador puede ver cómo el usuario interactúa y navega por la interfaz. Para más inri, si bien el SDK debería enmascarar los datos importantes como los números de cuenta, información de la tarjeta o códigos postales, no lo hace en algunas ocasiones, permitiendo así que el desarrollador acceda a todos los datos del usuario.

Ninguna aplicación informaba de la grabación

 

https://youtu.be/NlIvjjB7d4E

Desde TechCrunch se pusieron en contacto con The App Analysts para que examinará algunas aplicaciones que Glassbox tiene listadas en su web como clientes. Usando Charles Proxy, un sistema de ataques man in the middle, descubrieron que, si bien no todas las aplicaciones estaban filtrando información privada, ninguna avisaba de que estaba grabando la pantalla y que esa información estaba siendo enviada a la nube de Glassbox.

Si la empresa que está usando el SDK de Glassbox no lo ha configurado bien y no oculta correctamente los datos privados del usuario, es posible que se puedan interceptar grabaciones en las que se vean datos bancarios y contraseñas, con los riesgos para la privacidad que ello puede suponer.

Ninguna de las apps menciona en su política de privacidad que la sesión está siendo grabada

The App Analyst pone el ejemplo de Expedia y Hotels.com, que en lugar de mandar las grabaciones a la nube de Glassbox optaban por un servidor propio y que, aunque los datos estaban “mayormente ocultos”, en algunos casos se pudo acceder a correos electrónicos y direcciones físicas. Hollister, Abercrombie & Fitch y Singapore Airlines también usan este sistema, aunque optan por mandar las capturas a la nube de Glassbox.

El problema es que no es posible detectar que la sesión está siendo grabada salvo que analices los datos de todas las aplicaciones, ya que no requiere de permisos adicionales por parte del usuario. De hecho, tras haber investigado las políticas de privacidad de todas las aplicaciones, no se ha detectado ni una sola línea que especifique la grabación de la sesión.

CapturasEn estas capturas de la app de Air Canada puede verse cómo el sistema falla y muestra las credenciales del usuario.

Abrecrombie respondió diciendo que usan este sistema para “conseguir una experiencia de compra superior” y “detectar fallos y problemas que el usuario pueda encontrar durante la sesión”, aunque no mencionan nada sobre la grabación en sí misma. Lo mismo con Hollister. Air Canada, por su parte, declaró algo similar y afirmó que ni captura ni puede capturar información de la pantalla fuera de su app.

Glassbox, por su parte, dice que no obliga a sus clientes a mencionar que su sistema está siendo usado en su política de privacidad. “El SDK de Glassbox solo puede interactuar con las aplicaciones de los clientes y técnicamente no puede romper las barreras de la app”. Además, dicen, Glassbox no tiene acceso al teclado cuando este cubre la aplicación (es decir, cuando el usuario escribe).

Desde Xataka hemos contactado con Apple para conocer la postura oficial con respecto a este problema de privacidad y actualizaremos el post cuando obtengamos respuesta.

Fuente:  www.xatakamovil.com

 

Mimovil.com.do  Cuéntanos qué piensas, valoramos todos los comentarios respetuosos y constructivos.

Related Articles

Leave a Reply

Your email address will not be published. Required fields are marked *