多支iPhoneApp遭爆侧录手机萤幕,用户资料裸奔

多支iPhoneApp遭爆侧录手机萤幕,用户资料裸奔

科技媒体 TechCrunch 近日与 The App Analytics 合作,调查了一系列的 app,发现不少都在没有告知用户的状况下,纪录用户手机使用画面。

手机 app 纪录用户的每一次点击与操作已经是基本,而这次调查的目标更针对 app 服务提供商客户分析工具 Glassbox,因为使用 Glassbox 工具的 app 甚至有个功能,可以直接「重播」用户使用自己 app 的萤幕画面,藉此了解用户使用过程有没有碰到问题,或者研究用户行为。

然而,根据报导,使用 Glassbox 服务的某些 app 萤幕画面中需要填写个人资料,比如加拿大航空虽然在传送订单画面的时候会打上马赛克,但是却没打好,造成使用者的信用卡号、护照资讯外露。而加拿大航空上週才刚爆发 2 万笔用户资料外洩的事件。

而且不仅员工可以看到「侧录用户资料的萤幕画面」,由于资料根本没有加密,有心人都可拦截这些资讯。The App Analytics 受委託测试 Glassbox 网站上的示範 app,用中间人攻击就能拦截加拿大航空 app 传出的资料。

最后,这项计画中测试的 app 全都没有告知使用者,他们有侧录用户手机画面,并且传送到 Glassbox 云端或自己的伺服器,就算是落落长的用户隐私协议里都没提到。

这篇报导中提到使用 Glassbox 萤幕侧录功能的 app 包括 Abercrombie & Fitch 及其姐妹品牌 Hollister、Hotels.com、Expedia、新加坡航空,以及加拿大航空。

在后续回应中,A & F 提到使用者条款中「授权我们辨认出客户数位体验中的问题,协助获得更好的体验。」加拿大航空则称搜集用户手机使用资讯,是确保能支援并解决用户问题,他们也无法获取自家 app 以外的萤幕画面。而根据 Glassbox,他们的工具可以「重建」用户使用手机的画面。目前透过此工具并不需要向苹果或使用者额外要求权限,Glassbox 也没要求使用该工具的公司必须告知用户,因此一般人根本无从得知自己的手机使用画面遭到纪录。

而这只是冰山一角,除了 Glassbox,市面上还有 Appsee、UXCam 等有提供开发商录製用户手机萤幕画面的数据分析工具。在资安措施不确实,加密水準参差不齐,使用者条款又没揭露的状况下,各家 app 使用萤幕录製功能虽然能快速解决用户问题,但却让信用卡、护照、地址,甚至银行帐户全都露。