Atenção! Apps populares para iOS poderão estar a gravar a atividade do seu ecrã
Secretamente, sem que o utilizador do iPhone ou iPad dê por isso, certas aplicações gravam a atividade do ecrã do dispositivo. Apps populares que passam no crivo da Apple e estão a espiar tudo o que é feito.
Começa a ser "regra", mesmo que indecente, os sistemas terem problemas com aplicações que não cumprem as regras de segurança e privacidade. Temos visto consecutivamente esse comportamento danoso quer em apps para iOS como para Android. Assim, parece que já não chega saber os hábitos, a localização, preferências, entre tantos outros aspetos. Querem mesmo ver o que o utilizador vê.
Sabemos que muitas apps, sejam para iOS ou Android, vão recolhendo dados sobre o utilizador. Hábitos, localização, preferências, entre tantos outros aspetos, até aqui nada de novo.
Aliás, poderíamos até mesmo dizer que várias apps, novamente para Android e iOS, acabam por lucrar com todas as informações que vão recolhendo. Mais uma vez, nada de extraordinário ou inédito no atual mundo da tecnologia.
Uma grave falha de segurança no iOS da Apple
De acordo com a investigação levada a cabo pela equipa do TechCrunch, são várias as apps para iOS que chegam a dobrar e mesmo a quebrar todos os limites do eticamente aceitável, ou tolerável.
Foram instaladas várias aplicações no iOS. Apps de companhias aéreas, de alojamento local, bancos e agências de financiamento e até mesmo de operadoras. Em comum têm a indefinição, a falta de esclarecimento ou simplesmente a omissão do tratamento que dão aos seus dados, ou ao seu destino e propósito final.
Pior ainda, algumas destas apps estarão a mascarar alguns campos, isto para que possam ter acesso a campos e informações sensíveis.
Serviço Glassbox debaixo de fogo
De acordo com a mesma fonte, apps para iOS como a Abercrombie & Fitch, Hotels e a Singapore Airlines, utilizam o serviço Glassbox. Esta é uma agência de análise comportamental, providenciando estatísticas e indicadores sobre os utilizadores.
É apenas uma de várias agências que, no decurso da sua atividade, permite aos programadores a implementação de uma tecnologia extremamente controversa nas apps em que estão presentes.
A gravação para fins de estudo dos hábitos do utilizador
Para que fique claro, estamos aqui a falar de um mecanismo de replicação dos hábitos do utilizador. Um autêntico rewind de todas as interações, todos os gestos, todos os swipes e cliques ou toques que deu (e obviamente onde deu) no seu iPhone.
Se a explicação prévia não foi suficiente, imagine uma gravação do ecrã do seu iPhone. Na prática, o que sucede não é muito diferente disto mesmo. Tudo para que desta forma seja possível estudar os hábitos, preferências e costumes dos utilizadores.
Aliás, o nome Glassbox (caixa de vidro) adquire todo um novo sentido assim que nos inteiramos do seu modus operandi.
O método está a ser utilizado em várias apps para iOS
Com o intuito de perceber se determinada app para iOS está, ou não, intuitiva, este serviço permite analisar os padrões de utilização e comportamento do utilizador. Mais uma vez, por norma isto aplica-se a uma só app.
Por sua vez, a Glassbox não esconde o seu propósito. Analisar e estudar os hábitos e interações dos utilizadores, veja-se o seu recente tweet (publicação na rede social Twitter).
Imagine if your website or mobile app could see exactly what your customers do in real time, and why they did it? This is no longer a hypothetical question, but a real possibility. This is Glassbox. Experience it for yourself: https://t.co/E3uXcr0Gjf pic.twitter.com/9cJ40xbSaI
— Glassbox (@GlassboxDigital) October 16, 2018
Falha gravíssima de privacidade
Não demorou muito para que os serviços da Glassbox fossem empregues por várias empresas de renome. Entre elas, a imprensa internacional cita, por exemplo, a AirCanada cuja app para iPhone estava a enviar gravações da sua utilização para a Glassbox.
Até poderíamos pensar que nada de mal aqui existe. Contudo, nas gravações de sessão, estavam a ser enviados os números de passaporte, identificação e até mesmo os números de cartões de crédito dos respetivos utilizadores.
Ademais, de acordo com a mesma fonte, há poucas semanas a AirCanada admitiu a ocorrência de uma fuga de informação que acabaria por expor os dados de 20 mil dos seus utilizadores, mais concretamente dos seus perfis na app para dispositivos móveis iOS e Android.
Escusado será dizer que, qualquer pessoa com acesso a estas gravações de sessão na app para iOS tem nas suas mãos informação extremamente sensível como os dados dos cartões de crédito. Já para não falar das demais informações dos utilizadores.
Já no decurso da sua investigação, esta fonte pediu a um especialista para tentar aceder ao fluxo de informação. Facilmente foram obtidos acessos a todo um leque de informação sensível com os dados acima referidos.
Este mesmo especialista refere que a informação que estava a ser enviada para a Glassbox não estava, sequer, mascarada ou protegida. Aqui residindo um dos maiores problemas, os dados não eram protegidos, mascarados ou disfarçados.
Entre as várias apps para iOS que estavam a gravar as sessões de utilização, apenas estas, da AirCanada com a tecnologia da Glassbox, apresentava sérios riscos de ser totalmente exposta em caso de interferência ou acesso indevido ao fluxo de dados.
Será a Glassbox a única empresa a utilizar este método?
Este é apenas o caso mais gritante de várias apps e serviços que acabam por chegar à App Store da Apple sem explicitar claramente ao utilizador o que fazem com a informação do mesmo.
Quando inquirida sobre esta prática, a Glassbox afirmou que não obriga os seus clientes a explicitar a utilização dos seus serviços nas respetivas apps. Assim, pode ter no seu iPhone algumas apps para iOS que façam uso deste, ou de serviços similares.
Existem vários serviços similares ao Glassbox, todos com o mesmo propósito de estudo e análise comportamental. Veja-se o Appsee, o UXcam, bem como o Mixpanel.
A Apple até ao momento não se pronunciou face a uma clara violação das regras e política de privacidade da empresa.
Este artigo tem mais de um ano
Proponha uma correção, faça uma sugestão
Loading ...
Ainda estou à espera da review do jogo Apex Legends 😉
Ainda bem que a Apple tem um filtro eficaz e muito apertado das apps que vão para a sua store…
… ah… espera…
Em iOS é normal isso contecer: eu como dono da app posso logar os comportamento do utilizador (tempo de ecrã, acções, tirar “print-screens”, e/ou usar keyloggers, quase tudo…). Em iOS consegues fazer isso SOMENTE para a tua APP, em Android consegues ir MUITO MAIS ALÉM do que isso.
Em Android, no limite, qualquer app mesmo as fidelignas depois de instaladas, conseguem sacar código custom, para correr “cenas”. Essas “cenas”, expiam-te e/ou instalam-te malware, saca-te as coisas do tlm, instalam-te outras app’s etc… Simplementes o Android permite fazer isso, e se permite irá sempre acontecer abusos. (Não ha borlas grátis).
Já agora:
https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/malbus-popular-south-korean-bus-app-series-in-google-play-found-dropping-malware-after-5-years-of-development/
“Em iOS é normal isso contecer: eu como dono da app posso logar os comportamento do utilizador (tempo de ecrã, acções, tirar “print-screens”, e/ou usar keyloggers, quase tudo…)”
NORMAL?!?!
Então agora é normal logar o que eu faço, incluindo tirar “print-screens”, gravar o meu ecrã, guardar números de CC, etc., sem eu ter dado consentimento?
Analytics e afins não te diz nada…
Já utilizei uma biblioteca para sacar parte da UI do utilizador e os toques, para se perceber padrões de utilização e se poder optimizar o UI da app.
Todos os componentes que tinham informação sensível eram removidos deste processo.
Isto é bom senso e é quando se utilizam as coisas com fins fidelignos e com intuito de melhorar e/ou optimizar, e faz parte do negócio… não é só parir apps… depois de feitas existe outro mundo.
Claro que isto poderia ser utilizado para outros fins… como tudo.
Bom, então onde fica a frase da Apple
“What happens on your iphone, stays on your iphone”?!
Querem ver que é mais uma campanha de marketing enganador da Apple!!
Como é possível…
Percebeste mal – não tira print screenshot do ecrã – deteta o ponto e a sequência dos toques no ecrã e gestos.
Imagina o preenchimento do número de cartão de crédito utilizando o teclado – que tem os números numa sequência conhecida. Se For premido o local onde está o 2 e foi esse o primeiro toque o número começa em 2 e assim sucessivamente.Obtém-se o número do cartão de crédito sem print screen – mas o número mesmo sem isso, era transmitido. E o mesmo para o resto. Aqui a questão é se a informação é transmitida encriptada e onde fica guardada.
É por estas e outras que funcionalidades úteis que eram úteis são retiradas do iOS. Por exemplo, as apps vão perder o acesso à informação dada pelo giroscópio e o acelerómetro, porque algumas utilizavam indevidamente essa informação.
É indiferente gravar uma imagem ou mapear o ecrã… o resultado final é o mesmo.
Sim… se falham neles que fazem e cumprem muitos critérios, imagine-se no mundo do android que meto uma app disponível em duas horas.
A diferença é que a Google, ou Android Stores, não dizem à boca cheia e não espalham cartazes a dizer que a sua store é segura, que até fazem filtragem manual e ninguém tem acesso aos dados dos utilizadores sem permissão deste.
Percebes a diferença?
Portanto, desculpar a Apple com a ideia do “Ah, Android é pior”, é simplesmente ridículo.
Isto acontece também com grande parte dos sites que visitamos, especialmente de e-commerce. Muitos usam a ferramenta Hotjar que grava todas as interações do utilizador.
Para quando eSIM em Portugal? Alguem sabe?
Lá mais para o verão de 2020
Estas noticias vão talvez finalmente abrir os olhos aos fanáticos e mais uma vez, não é diferente dos outros. Aliás, esta semana tenho lido noticias interessantes da Apple, desde:
500 milhões de vão ter que pagar a França.
Novos argumentos para se descartarem da responsabilidade das baterias defeituosas ( incrivelmente ainda existem fanáticos que dizem que isto não aconteceu ).
Apple no seu melhor
E esta tinha lido? 😉
A Apple está a caminho do bilião de dólares outra vez.
Não chega lá este ano, mas a empresa mais valiosa é mais dia menos dia:
Cotações de hoje
Microsoft: 807,65 mM
Apple: 806,03 mM
Amazon: 792,98 mM
Alphabet (Google): 766,49 mM.
Anda tudo de olhos fechados 😉
O Glassbox existe para IOS / Android e web ….
Nada tem a ver com a politica de privacidade da Apple ou Google , mas sim a politica de privacidade da app. Na Europa agora tem que avisar…
Abc
Eu li o titulo e o texto, mas fiquei sem saber se existem apps portuguesas (bancos, ctt, cp, edp, etc) que estejam a gravar o nosso uso. Se alguém sabe de alguma ponha aqui sff, porque pelo que li, não chego a conclusão alguma.
Até ao momento não temos nenhuma app portuguesa referenciada pela fonte.
Eu não tenho interesse em saber ESPECIFICAMENTE a “nacionalidade” das apps que têm esse comportamento…pela razão simples que mais de 99% das aplicações que utilizamos nos smarttphones são “estrangeiras”! Para mim o que interessa é que o MITO de que as apps provenientes das lojas oficiais (seja da Apple,da Google ou outra qualquer) são “fiscalizadas” antes da sua disponibilização é apenas mais uma ação de marketing! Para aqueles que dizem não instalar o W10 pela “espionagem” da telemetria da Microsoft vai um conselho…desliguem-se da vida digital! Afinal a humanidade sobreviveu milhares de anos sem internet…
A utilização deste tipo de serviços é muito comum por parte de equopas de product design e UX perceberam cmo é que realmente os seus users utilizam a aplicação.
Existem mais serviços conhecidos como o MouseFlow, Inpectlet, entre outros.
O lado bom, e estar sempre informado.
O lado mau, bem acho que a maioria + de 95% (podemos ou não discordar) da população que acede com os seus dispositivos a redes abertas(publicas , seja smartphone, PC, Smart TV…)
Não fazemos a minima ideea, do que realmente acontece, quem nos vigia, quem tem acesso aos nossos dados, com quem os nossos dispositivos comunicam…etc
O IA só veio melhorar esse tipo de acesso e controle.
Simplismente todos pensamos que estamos “vestidos” mas perante tanta tecnologia estamos a ficar “Nus”, cada vez mais expostos.
Não existe segurança 100%
Agora o que os grandes fazem com esses dados, para nós e uma incógnita, podemos dizer que : aí tal , só para marketing, ou somente para estatísticas, mas a pura verdade e que poderemos nunca vir a saber a verdadeira razão, será de controle absoluto da informação ?
Antes de responderem com factos (100% fiáveis não existem) pensem um pouco.
Qualquer inovação tecnológica, traz vantagens mas que vem também com desvantagens (desconhecidas).
Se já estão a tentar digitalizar o cérebro humano (não sei se já chegaram lá) para extrair a informação, então pensam que RGPD e só um pontinho no Oceano 😉
Ainda falam mal do Android LOL
Estás baralhado ,isto nao é android ou apple ou outra,. Isto é politica da APP ..
Glassbox existe em android tambem,.
A segurança é cada vez mais uma utopia.
Agora até o IOS ?
O maravilhoso mundo novo!
Estou dando em doida com isto, apetece atirar pela janela fora. Até já fui a psiquiatria de emergência.