Каждый клик, каждое касание
Многие владельцы смартфонов знают о том, что малоизвестным приложениям нельзя доверять. Но, как оказалось, опасность могут представлять и популярные программы, созданные ведущими брендами мира. Как сообщает TechCrunch, ряд приложений для iPhone тайно записывает всю информацию с экрана смартфона, не уведомляя при этом владельца.
В числе компаний, которые были уличены в сомнительном сборе данных, называются модные бренды Abercrombie & Fitch и Hollister, авиакомпании Air Canada и Singapore Airlines, сервис бронирования отелей Hotels.com, компания-организатор путешествий Expedia и некоторые другие.
Для сбора информации вышеперечисленные приложения используют сервис Glassbox, который позволяет записывать все, что происходит на экране, включая касания и свайпы пользователя, а потом заново проигрывать запись, чтобы увидеть, как именно человек взаимодействовал с программой. Таким образом, можно обнаружить ошибки в коде или недочеты интерфейса.
Информация, получаемая со смартфонов пользователей, тщательно собирается и отправляется третьим лицам для анализа. На основе этих данных создается реклама, таргетированная на конкретных людей.
Проблема заключается в том, что некоторые из этих приложений не обеспечивают должный уровень защиты для передаваемой информации. Так, у Air Canada отсутствует какое-либо шифрование данных пользователя, что означает практически свободный доступ к базе данных для сотрудников авиакомпании. А если она станет жертвой хакерской атаки, то злоумышленник автоматически получит доступ к именам, паролям и данным банковских карт клиентов без необходимости дешифровки.
Кроме того, пользователи этих популярных приложений даже не догадываются о слежке, так как программа не запрашивает разрешение на сбор данных. По данным TechCrunch,
чтобы узнать, собирает ли приложение информацию, необходимо проанализировать его код — в политике приватности нет ни слова о том, что экран владельца может быть записан.
На момент публикации заметки все эти приложения доступны для скачивания в AppStore. Возможно, что после общественного резонанса компания Apple заинтересуется нарушением прав пользователей и потребует от компаний привести свои приложения в соответствие с законам. Кроме того, по правилам Общего регламента о защите данных (GDPR), нарушителям могут грозить многомиллионные штрафы.
Apple должен держать ответ
В конце января стало известно о наличии пугающей уязвимости в приложении FaceTime, с помощью которого владельцы iPhone общаются друг с другом. Как оказалось, пользователь может прослушать своего собеседника еще до того, как он согласился принять звонок.
При этом человек по ту сторону провода даже не подозревает, что его прослушивают — никакой индикатор на экране не появляется.
Сообщалось, что проблема с несанкционированной прослушкой кроется в функции групповых звонков в FaceTime, которая была запущена в ноябре 2018 года.
Что интересно, новости о баге поступили в день защиты персональных данных — международный праздник, учрежденный в 2007 году специально для пользователей сети как напоминание о соблюдении правил поведения в интернете, чтобы обезопасить свою личную информацию онлайн.
Apple признала, что в FaceTime действительно обнаружен опасный баг, и в течение недели оперативно выпустила обновление с патчем, который исправил проблему.
Тем не менее, уязвимостью уже заинтересовались в конгрессе США — в адрес главы компании Тима Кука было отправлено письмо, в котором сообщается, что парламентарии «глубоко обеспокоены» ситуацией с FaceTime.
«Мы хотим знать, когда именно Apple впервые узнала о проблемах с безопасностью, насколько пострадала приватность пользователей и существуют ли другие уязвимости, о которых никто не знает», — говорится в письме, подписанном двумя конгрессменами.
Apple обязана предоставить ответы к 19 февраля текущего года. В случае, если конгресс не будет удовлетворен реакцией «яблочного» бренда, не исключено, что Тим Кук может быть приглашен в Вашингтон для дачи показаний.