Bezpečnostní novinky

Aplikace pro iPhone zaznamenávají vaši činnost

Avast Security News Team, 4. března 2019

Některé aplikace bez vašeho vědomí zaznamenávaly, co v nich děláte, a pořizovaly si snímky obrazovky.

Expert na mobilní zabezpečení The App Analyst zveřejnil zjištění, že aplikace Air Canada bez svolení uživatele pořizuje snímky obrazovky a předává je analytické firmě Glassbox, a TechCrunch se celou záležitost rozhodl podrobněji prošetřit. TechCrunch a The App Analyst společnými silami analyzovali zákaznickou síť Glassboxu a jeho běžně používanou, ale doposud neznámou praktiku s názvem „session replays“.

Tato taktika spočívá v záznamu pohybu uživatele aplikací (včetně klepnutí na tlačítka, přejetí prsty či stisknutí kláves). Jejím cílem je sledovat a analyzovat, v čem je používání aplikace snadné a v čem nikoli, hledat příležitosti ke zlepšení nebo nedostatky atd. Takto zaznamenané session replays obsahují určitá citlivá data, která by za normálních okolností měla být zamaskovaná. The App Analyst u aplikace Air Canada zjistil, že příslušné záznamy session replays mohou obsahovat například pasové údaje nebo čísla platebních karet. Firma Air Canada minulý srpen oznámila únik dat z 20 000 profilů. Pokud by si hackeři našli cestu i do její databáze session replays, dostali by se k ohromnému množství nešifrovaných citlivých údajů.

Mezi další aplikace pro iPhone, které analýzu pomocí session replays používají, patří Abercrombie & Fitch, Expedia, Hotels.com či Singapore Airlines. Žádná z těchto aplikací (ani Air Canada) se ve svých zásadách ochrany soukromí o session replays, pořizování snímků obrazovky ani záznamu stisknutých kláves nezmiňuje. Firmy Air Canada, Abercrombie & Fitch a Singapore Airlines se na dotaz, proč tyto podloudné záznamy používají, hájily tím, že je používají pro dobro zákazníků. Provozovatelé aplikací Expedia a Hotels.com na dotazy ohledně session replays nereagovali.

„Analýza pomocí session replays má své opodstatnění,“ říká k tomu bezpečnostní expert Avastu, Luis Corrons. „Firmám umožňuje zjišťovat, které z funkcí aplikace se používají nejčastěji, a pomáhá tyto funkce lépe zpřístupňovat. Podobné jednání bez vědomí uživatelů však není správné a v některých zemích je možná nezákonné. Jestliže příslušné záznamy obsahují citlivé údaje, jsou zapotřebí dodatečná bezpečnostní opatření.“