אקספדיה, אייר קנדה ואפליקציות נוספות מקליטות מסך של משתמשים ללא ידיעתם

אפליקציות פופולריות ל-iOS בתחומי התעופה, המלונאות והקמעונאות מקליטות ומצלמות את מסך האייפון של המשתמשים בזמן השימוש בהן ללא הסכמתם או ידיעתם, כך לפי תחקיר של אתר טק-קראנץ'

אתר התיירות של אקספדיה / צילום:  Shutterstock/ א.ס.א.פ קרייטיב
אתר התיירות של אקספדיה / צילום: Shutterstock/ א.ס.א.פ קרייטיב

אפליקציות פופולריות ל-iOS בתחומי התעופה, המלונאות והקמעונאות מקליטות ומצלמות את מסך האייפון של המשתמשים בזמן השימוש בהן ללא הסכמתם או ידיעתם, כך לפי תחקיר של אתר טק-קראנץ'. האפליקציות שנבחנו הן של אקספדיה, הוטלס.קום, חברות התעופה אייר קנדה וסינגפור איירליינס ובית האופנה אברקרומבי אנד פיץ'.

בעוד שמטרת ההקלטה היא לבחון את אופן השימוש של משתמשים באפליקציות כדי לאתר תקלות ולגזור ממנו תובנות שונות, במקרים מסוימים ההקלטה כוללת פרטים רגישים כמו מספרי דרכון ופרטי אשראי, והפרקטיקה לא הוזכרה במדיניות הפרטיות של האפליקציות.

במסגרת התחקיר טק-קראנץ' השתמשו בחוקר האבטחה שכותב את הבלוג The App Analyst כדי לבחון אפליקציות שונות שרשומים כלקוחות באתר של חברת Glassbox. גלאסבוקס היא חברת צד שלישי שעוסקת באנליטיקה ומטמיעה את טכנולוגיית הקלטת המסך באפליקציות של לקוחותיה. בציוץ שגלאסבוקס פרסמה לאחרונה בטוויטר נכתב "תארו לכם שהאתר או האפליקציה שלכם היו יכולים לראות בדיוק מה הלקוחות שלכם עושים בזמן אמת, ולמה הם עושים את זה". חלק מהאפליקציות שהוזכרו בדיווח שלחו את המידע שהוקלט באפליקציה לשרתי גלאסבוקס, וחלקן שלחו אותו לשרתים של החברות עצמן.

לאחרונה, כותב The App Analyst אף מצא כי אייר קנדה גם לא אבטחה כראוי את המידע שהוקלט באפליקציה כשנשלח לשרתי החברה. המידע, שכולל מספרי אשראי ודרכון, חשוף בדרך זו בפני עובדי החברה ובפני מתקפות צד שלישי במהלך תהליך השליחה. באוגוסט אייר קנדה דיווחה כי האפליקציה שלה סבלה מדליפת מידע שחשפה דאטה על 20 אלף משתמשים שעשוי לכלול מידע רגיש נוסף.

בטק-קראנץ' פנו לחברות שהוזכרו בדיווח, ואברקרומבי אישרה כי גלאסבוקס "מסייעת לתמוך בחווית קניות חלקה, ומאפשרת לנו לזהות ולטפל בסוגיות שלקוחות עשויים לפגוש בחוויה הדיגיטלית שלהן". אייר קנדה אמרה כי היא "משתמשת במידע שהלקוח מספק כדי להבטיח תמיכה בצרכי הטיול שלו ולהבטיח שנפתור כל בעיה שעשויה להשפיע עליו. זה כולל מידע שהוכנס ונאסף באמצעות אפליקציית החברה. למרות זאת, אייר קנדה לא מצלמת מסך מחוץ לאפליקציית החברה ולא יכולה לעשות זאת". שאר החברות לא הגיבו.

גלאסבוקס היא רק חברה אחת שמציעה שירותים להקלטת המסך באפליקציות, ובין החברות הנוספות שעושות זאת נמנות Appsee שמשווקת את עצמה כחברה שמאפשרת למפתחים "לראות את האפליקציה דרך עיני המשתמש", ו-UXCam שאומרת שהיא מאפשרת למפתחים "לצפות בהקלטות של פעולות המשתמשים הכוללות את המחוות שלהם".

בקיץ פורסם מחקר של אוניברסיטת נורת'איסטרן בבוסטון שבחן את התיאוריה המוכרת לפיה אפליקציות מקליטות אודיו של המשתמשים, ובעוד שלא מצא לכך ראיות, מצא כי מספר אפליקציות צילמו את פעילות המשתמשים בנייד ושלחו אותה לשרתי צד שלישי. גם אז הועלה חשש מצילום פרטים אישיים רגישים, ובמחקר הוזכר שמה של חברת Appsee בתור חברה חיצונית אליה נשלחו צילומים מאחת האפליקציות.