BeTech: noticias de tecnología

APPS

Evita estas apps iOS, graban la pantalla de tu iPhone sin notificarlo

Evita estas apps iOS, graban la pantalla de tu iPhone sin notificarlo

Varias aplicaciones de la compañía Glassbox registran todo lo que haces en la pantalla del iPhone.

Se la conoce como Replay Sessions, y es una táctica puesta en práctica por páginas web que graban la pantalla de un usuario durante todo el tiempo que esté en la web, durante toda su sesión. De esta manera, ellos tienen datos de miles de usuarios que pueden usar para mejorar sus servicios, o al menos es la excusa barata que muchas dieron hace unos meses cuando se descubrió que varias compañías hacían Replay Sessions sin alertar a los usuarios, en un claro atentado contra la privacidad de estos.

Las Replay Sessions de Glassbox

¿Y si alguien trasladase esto al ámbito de los móviles? Pues es precisamente lo que la web TechChrunch ha descubierto en varias aplicaciones para iOS. Pero no apps de esas desconocidas que hacen saltar las alarmas, sino apps para el iPhone muy descargadas sobre cadenas hoteleras, webs de viajes, aerolíneas, operadoras móviles, bancos y hasta financieras. Son apps que hacen estas Replay Sessions, que graban todo lo que hacemos en la pantalla del iPhone, y envían esos datos o a los servidores de una firma llamada Glassbox o a los suyos propios. Entre ellas están:

  • Expedia
  • Hollister
  • Abercrombie & Fitch
  • Hotels.com
  • Singapore Airlines
  • Air Canada

Glassbox, una firma analítica dedicada a la experiencia del usuario, es una de las compañías que se dedican a implementar la tecnología de las Session Replay en una app, por lo que si somos una compañía que queremos monitorizar lo que los usuarios hacen con nuestra aplicación, llamamos a Glassbox para que instale esta forma de capturar la pantalla del móvil cuando un usuario abre la app. Cada pulsación, cada vez que deslizamos el dedo, y lo que es peor: cada entrada de texto queda almacenada y es enviada o a los servers de Glassbox como hacen Hollister o Abercrombie & Fitch, o a sus propios servidores como hacen Expedia y Hotels.com.

Grabar tu pantalla sin permiso

Dado que no se menciona en los términos de privacidad de estas apps en la App Store de Apple,  Glassbox no necesita que ni Apple ni el usuario de la app le concedan permisos especiales a su tecnología, lo que hace esta firma supera un límite legal, ya que no se trata de hacer un pantallazo ocasional en cuanto a si buscamos un Hotel, un vuelo o información bancaria, sino que registran incluso los momentos en que debemos rellenar campos como contraseñas para autorizar la operación, numeraciones bancarias, etc. Eso son datos privados sensibles, y por lo tanto es un robo de datos personales.

Pantallazo de Air Canada app. Aunque en teoría los campos con información sensible están tapados (izq), en realidad no suelen estarlo (derecha), mostrando datos privados

Sólo para poner un ejemplo, los expertos de App Analyst -firma consultada por TecChrunch- revelaron en su blog hace poco que la app de iPhone de Air Canada no sólo registraba la pantalla del móvil y lo que hacía el usuario, sino que además no codificaba bien las replay sessions al enviarlas a su servidor, lo que añadía un nivel de exposición a datos privados y personales como direcciones, cuentas corrientes, códigos de tarjetas, etc. Y lo peor es que hace unas semanas, Air Canadá tuvo una brecha de seguridad que expuso los datos de 20.000 clientes, datos sin codificar que podían ser vistos por cualquier empleado de Air Canada o que pudiera acceder a la base de datos de las capturas de pantalla de la app.

Encima con cachondeo

¿Cómo funciona esta tecnología? Al parecer Glassbox implementa Charles Proxy, una herramienta intermediaria que sirve para interceptar los datos que recoge la app y enviarlos a servidores. Consultando los términos de las apps, ni Expedia ni Hotels.com dicen nada de que te van a grabar; Air Canadá no dice que esos datos se enviarán a su server, ni tampoco Singapore Airlines. Lo que ya ralla en la ironía es este tweet publicado en su cuenta de Twitter por la propia Glassbox en octubre pasado anunciando su tecnología:

“¿Imaginas que tu web o app de móvil pudiera ver exactamente lo que tus clientes ven en tiempo real, y por qué lo hicieron?” Esto no es ya una pregunta hipotética, sino una posibilidad real. Esto es Glassbox. Experiméntalo por ti mismo”.