______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

Трекер Glassbox следит за действиями пользователей iOS

Издание TechCrunch сообщило о новых случаях слежки за пользователями под предлогом маркетинговых исследований. На этот раз тревогу вызвал трекер Glassbox, который позволяет разработчикам iOS-приложений скрытно записывать экран смартфона.

Поводом для расследования стала утечка данных 20 тыс. клиентов Air Canada, о которой сообщил автор блога TheAppAnalyst.com. Злоумышленники заполучили персональную информацию пользователей мобильного приложения компании, включая паспортные, контактные данные и детали выполненных полетов.

Аналитик решил проверить безопасность приложения Air Canada и обнаружил, что компания использует трекер Glassbox для записи действий пользователя в виде скриншотов. Предполагается, что при пересылке все приватные данные должны быть закрашены черным, но аналитики обнаружили случаи, когда эти поля остаются видны.

Среди прочего эксперту удалось узнать пароль пользователя и данные его пластиковой карты. Раскрытие этой информации нарушает требования PCI DSS — ключевого стандарта в банковской отрасли, который устанавливает общие правила для всех платежных систем.

По просьбе журналистов TechCrunch аналитик изучил приложения других клиентов Glassbox — интернет-магазина Abercrombie & Fitch, гостиничного агрегатора Hotels.com, авиакомпании Singapore Airlines и прочих. Тут тоже он обнаружил случаи отправки приватных данных в открытом виде. Одни приложения сохраняют информацию на собственных серверах компании, другие передают ее в облако Glassbox.

При этом ни одна из компаний, использующих Glassbox, прямо не предупреждает пользователей об отслеживании их действий. Это является нарушением политики безопасности Apple, согласно которой все приложения должны работать в строгом соответствии с четко прописанными правилами конфиденциальности. Для своей работы трекер не запрашивает каких-либо разрешений у владельца устройства или Apple, а значит, узнать о слежке можно только с помощью специализированных средств.

По мнению The App Analyst, инициатива в этих вопросах должна исходить от самих пользователей, которым следует «заставить компании сразу объявлять, как они собирают персональную информацию и кому ее отправляют».

В 2018 году пользователь Pikabu обвинил российское представительство Burger King в скрытой записи видео с экранов устройств клиентов, которая велась и во время ввода данных банковских карт. Представители компании заявили, что отслеживание пользовательской активности помогает им устранять ошибки ПО.

Ранее исследователи создали базу Android-приложений с шпионскими функциями. К настоящему моменту она включает уже почти 50 тыс. наименований.

источник

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх