Приложение Burger King уличили в слежке за пользователями и тайной записи данных банковских карт

Приложение Burger King может тайно записывать данные с экрана смартфона, на который оно установлено. Об этом сообщил пользователь "Хабр" под ником fennikami, который изучил программный код приложения.

Проанализировав трафик мобильного приложения для операционной системы Apple iOS, он обнаружил, что в качестве ответа на запрос, содержащий данные о модели телефона и прочих его параметрах, удаленный сервер также возвращает инструкции о том, как вести запись с экрана данного устройства.

Пользователь утверждает, что мобильный клиент непрерывно фиксирует как изображение, так и все вводимые данные и координаты прикосновения пальцев к дисплею, позволяя сопоставлять эти данные друг с другом. Приложение якобы втайне записывает видео с экрана смартфона, в том числе в момент ввода реквизитов банковских карт для оплаты заказа.

- Burger King все опровергает

Запись видео начинается с момента запуска приложения и идет непрерывно. Затем все записи отсылаются на сервер. При этом запись экрана смартфона продолжается и в свернутом состоянии приложения.

Автор публикации также отмечает, что доступ к записям с экранов имеют не только разработчики приложения Burger King, но и партнеры платформы AppSee, куда и отправляются полученные записи. AppSee позволяет измерять активность пользователей и оценивать их взаимодействие с приложениями. Анализ кода приложения показал, что видеозаписи со смартфонов анализирует также "Яндекс.Метрика" и Chashlytics.

Как отмечает пользователь fennikami, таким образом аудитория тех людей, кто имеет возможность просматривать все действия пользователей приложения Burger King, может исчисляться сотнями человек. Пользователь уверен, что видео тайно записывается и в момент, когда клиенты Burger King вводят данные своих банковских карт.

На возможную уязвимость обратил внимание и Роскомнадзор - на своей странице в соцсети "ВКонтакте" ведомство обратилось к компании с соответствующим вопросом.

"Тут ходят разные слухи, что ваше приложение тайно делает запись экрана с вводом реквизитов (персональных данных) банковских карт покупателей. Что-нибудь можете сказать по этому поводу? Или случайно обострились?", - задали вопрос в Роскомнадзоре компании Burger King.

Appsee - популярная аналитическая платформа, которая позволяет измерять, оценивать и оптимизировать работу мобильных приложений. Этот аналитический инструмент предоставляет функциональность отслеживания персонального поведения каждого пользователя при использовании конкретного приложения. Платформа фиксирует ключевые метрики выбранных разработчиком групп пользователей для последующей визуализации в отчетах и тепловых картах, напоминает CNews.

Appsee имеет неплохую репутацию в отрасли. По информации, опубликованной на официальном сайте сервиса, услугами платформы пользуются аналитики таких компаний, как Samsung, ebay, Virgin, Upwork и British Gas и полностью соответствует GDPR, общему регламенту по защите данных, недавно принятому в Европейском Союзе. Благодаря этому пользователь может выяснить, какие именно из его персональных данных хранятся на серверах Appsee, и, при необходимости, потребовать их удалить.

Параметры сбора данных задаются владельцем или разработчиком приложения, требующего анализа действий пользователя. Как правило, запись видео ведется с низкими битрейтом и частотой кадров (влияет на качество картинки и размер файла/скорость потока видео), чтобы излишне на нагружать канал связи при передаче данных на сервер. Кстати, каналы связи для отправки данных также можно заранее определить так, чтобы отправка записанных данных осуществлялась только при подключении через Wi-Fi.

Поля ввода, в том числе используемые для ввода паролей и другой чувствительной информации, могут скрываться при записи из соображений безопасности. Из этих же соображений информация передается и хранится в зашифрованном виде. Персональная информация целенаправленно не собирается, поскольку аналитикам, как правило, она не нужна.