Secretamente, sem que o utilizador do iPhone ou iPad dê por isso, certas aplicações gravam a atividade do ecrã do dispositivo. Apps populares que passam no crivo da Apple e estão a espiar tudo o que é feito.
Começa a ser “regra”, mesmo que indecente, os sistemas terem problemas com aplicações que não cumprem as regras de segurança e privacidade. Temos visto consecutivamente esse comportamento danoso quer em apps para iOS como para Android. Assim, parece que já não chega saber os hábitos, a localização, preferências, entre tantos outros aspetos. Querem mesmo ver o que o utilizador vê.
Sabemos que muitas apps, sejam para iOS ou Android, vão recolhendo dados sobre o utilizador. Hábitos, localização, preferências, entre tantos outros aspetos, até aqui nada de novo.
Aliás, poderíamos até mesmo dizer que várias apps, novamente para Android e iOS, acabam por lucrar com todas as informações que vão recolhendo. Mais uma vez, nada de extraordinário ou inédito no atual mundo da tecnologia.
Uma grave falha de segurança no iOS da Apple
De acordo com a investigação levada a cabo pela equipa do TechCrunch, são várias as apps para iOS que chegam a dobrar e mesmo a quebrar todos os limites do eticamente aceitável, ou tolerável.
Foram instaladas várias aplicações no iOS. Apps de companhias aéreas, de alojamento local, bancos e agências de financiamento e até mesmo de operadoras. Em comum têm a indefinição, a falta de esclarecimento ou simplesmente a omissão do tratamento que dão aos seus dados, ou ao seu destino e propósito final.
Pior ainda, algumas destas apps estarão a mascarar alguns campos, isto para que possam ter acesso a campos e informações sensíveis.
Serviço Glassbox debaixo de fogo
De acordo com a mesma fonte, apps para iOS como a Abercrombie & Fitch, Hotels e a Singapore Airlines, utilizam o serviço Glassbox. Esta é uma agência de análise comportamental, providenciando estatísticas e indicadores sobre os utilizadores.
É apenas uma de várias agências que, no decurso da sua atividade, permite aos programadores a implementação de uma tecnologia extremamente controversa nas apps em que estão presentes.
A gravação para fins de estudo dos hábitos do utilizador
Para que fique claro, estamos aqui a falar de um mecanismo de replicação dos hábitos do utilizador. Um autêntico rewind de todas as interações, todos os gestos, todos os swipes e cliques ou toques que deu (e obviamente onde deu) no seu iPhone.
Se a explicação prévia não foi suficiente, imagine uma gravação do ecrã do seu iPhone. Na prática, o que sucede não é muito diferente disto mesmo. Tudo para que desta forma seja possível estudar os hábitos, preferências e costumes dos utilizadores.
Aliás, o nome Glassbox (caixa de vidro) adquire todo um novo sentido assim que nos inteiramos do seu modus operandi.
O método está a ser utilizado em várias apps para iOS
Com o intuito de perceber se determinada app para iOS está, ou não, intuitiva, este serviço permite analisar os padrões de utilização e comportamento do utilizador. Mais uma vez, por norma isto aplica-se a uma só app.
Por sua vez, a Glassbox não esconde o seu propósito. Analisar e estudar os hábitos e interações dos utilizadores, veja-se o seu recente tweet (publicação na rede social Twitter).
Imagine if your website or mobile app could see exactly what your customers do in real time, and why they did it? This is no longer a hypothetical question, but a real possibility. This is Glassbox. Experience it for yourself: https://t.co/E3uXcr0Gjf pic.twitter.com/9cJ40xbSaI
— Glassbox (@GlassboxDigital) October 16, 2018
Falha gravíssima de privacidade
Não demorou muito para que os serviços da Glassbox fossem empregues por várias empresas de renome. Entre elas, a imprensa internacional cita, por exemplo, a AirCanada cuja app para iPhone estava a enviar gravações da sua utilização para a Glassbox.
Até poderíamos pensar que nada de mal aqui existe. Contudo, nas gravações de sessão, estavam a ser enviados os números de passaporte, identificação e até mesmo os números de cartões de crédito dos respetivos utilizadores.
Ademais, de acordo com a mesma fonte, há poucas semanas a AirCanada admitiu a ocorrência de uma fuga de informação que acabaria por expor os dados de 20 mil dos seus utilizadores, mais concretamente dos seus perfis na app para dispositivos móveis iOS e Android.
Escusado será dizer que, qualquer pessoa com acesso a estas gravações de sessão na app para iOS tem nas suas mãos informação extremamente sensível como os dados dos cartões de crédito. Já para não falar das demais informações dos utilizadores.
Já no decurso da sua investigação, esta fonte pediu a um especialista para tentar aceder ao fluxo de informação. Facilmente foram obtidos acessos a todo um leque de informação sensível com os dados acima referidos.
Este mesmo especialista refere que a informação que estava a ser enviada para a Glassbox não estava, sequer, mascarada ou protegida. Aqui residindo um dos maiores problemas, os dados não eram protegidos, mascarados ou disfarçados.
Entre as várias apps para iOS que estavam a gravar as sessões de utilização, apenas estas, da AirCanada com a tecnologia da Glassbox, apresentava sérios riscos de ser totalmente exposta em caso de interferência ou acesso indevido ao fluxo de dados.
Será a Glassbox a única empresa a utilizar este método?
Este é apenas o caso mais gritante de várias apps e serviços que acabam por chegar à App Store da Apple sem explicitar claramente ao utilizador o que fazem com a informação do mesmo.
Quando inquirida sobre esta prática, a Glassbox afirmou que não obriga os seus clientes a explicitar a utilização dos seus serviços nas respetivas apps. Assim, pode ter no seu iPhone algumas apps para iOS que façam uso deste, ou de serviços similares.
Existem vários serviços similares ao Glassbox, todos com o mesmo propósito de estudo e análise comportamental. Veja-se o Appsee, o UXcam, bem como o Mixpanel.
A Apple até ao momento não se pronunciou face a uma clara violação das regras e política de privacidade da empresa.