HWSW

Leszámol a felhasználói tevékenységet titokban rögzítő appokkal az Apple

Egy napjuk van az érintetteknek az appok javítására, különben menniük kell az App Store-ból - volt olyan alkalmazás, amely az analitikai információk között bankkártya-adatokat is rögzített.

Menniük kell az App Store-ból azoknak az alkalmazásoknak, amelyek nem közlik egyértelműen a felhasználókkal, pontosan milyen szinten követik azok interakcióit - és arra nem szereznek megfelelő engedélyt is. A döntést az Apple a TechCrunch-nak nyilatkozva erősítette meg, [1] miután a lap egy korábbi vizsgálata kiderítette, [2] több, nagy letöltésszámot produkáló alkalmazás is olyan analitikai eszközöket használ, amelyek a felhasználó minden mozdulatát követik az adott appon belül, erről azonban semmilyen formában nem tájékoztatják a felhasználókat.

A TechCrunch számos alkalmazást megvizsgált, köztük olyan nagyvállalatok appjait is, mint a Hotels.com vagy a Hollister, noha az egyelőre nem derült ki, pontosan hány iOS-es szoftverről van szó. A cégek az úgynevezett "session replay" funkciót, vagy munkamenet-visszajátszást lehetővé tevő analitikai megoldásokat használtak, ilyen például a Glassbox nevű analitikai cég terméke is. Ezek a szolgáltatások lényegében rögzítik a kijelzőtartalmat az alkalmazás használata során, minden bökéssel, elhúzással vagy billentyűleütéssel együtt.

Ez azért is komoly problémát jelent, mert mint kiderült egyes estekben a rögzítés olyan érzékeny adatokra is kiterjed, mint a bankkártya-adatok vagy épp a számlázási címek. Noha ezeket az információkat a hasonló munkamenet-rögzítő szolgáltatások papírforma szerint alapértelmezetten kitakarják, a The App Analyst vizsgálata szerint [3] ez korántsem érvényes minden esetben: az Air Canada iOS-es alkalmazása például egyáltalán nem rejtette el az adatokat, így a visszajátszásokban bankkártya-adatok és útlevélszámok is láthatók voltak.

xA helyzetet súlyosbítja, hogy a munkamenet-rögzítést egyetlen vizsgált alkalmazás sem közölte a felhasználókkal, sem értesítés vagy engedélykérés formájában, sem pedig a használati feltételek között. Maga a döntés, amely szerint a hasonló analitikára titokban támaszkodó appok nem maradhatnak az iOS-es alkalmazásboltban, nem jelent nagy meglepetést, hiszen az Apple világosan leírja az App Store fejlesztőket célozó felhasználási feltételei között, hogy bármilyen felhasználói aktivitás rögzítéséhez a felhasználó egyértelmű beleegyezésére van szükség.

A cupertinói óriás az ügy kapcsán már értesítette az érintett alkalmazások fejlesztőit, akiknek a fentieknek megfelelően nagyon gyorsan meg kell szerezniük a felhasználó hozzájárulását az adatok rögzítéséhez és adott esetben azok továbbküldéséhez valamilyen elemzőcég felé, vagy pedig törölniük kell a rögzítésre használt kódot az appokból. A vállalat minderre alig egy napot adott az érintetteknek.

 

A cikkben hivatkozott linkek:
[1] https://techcrunch.com/2019/02/07/apple-glassbox-apps/
[2] https://techcrunch.com/2019/02/06/iphone-session-replay-screenshots/
[3] http://theappanalyst.com/
A cikk adatai:
//www.hwsw.hu/hirek/59972/apple-app-store-analitika-biztonsag.html
Író: Hlács Ferenc (feradyr@gmail.com)
Dátum: 2019. február 08. 15:30
Rovat: vállalati it