Приложение Burger King тайно записывает экран телефона!
UPD: Ответ от Burger King Мобильное приложение Burger King с удаленным заказом не собирает персональных данных своих подписчиков.
Информация, что имеется открытая передача личных данных (данные карт) не подтверждена.
UPD (14:46): От автора поста
___________________________________
Мой блог: https://fennikami.cf, для связи со мной пишите на https://fennikami.cf/contact/
Привет! Мне 18 и я бородат в свободное время ковыряю разные приложения.
Сегодня дошли руки до распиаренного приложения Бургер Кинга (того самого, где «бургер — бесплатно» и промокоды для друзей).
Значит открываю приложение на своем айфончике, смотрю за трафиком. И обнаруживаю это:
Что это такое?
А это запрос от приложения к серверу (сверху) с инфой вроде его версии, модели телефона, времени запуска, разрешении дисплея. Вроде бы все окей, да?
Но! В ответ телефону прилетает информация (снизу) о том, как записывать видео с экрана. o_O
Причем, параметр MaxVideoLength (максимальная длина видео) указан как "0", что значит — бесконечная запись (при запущенном приложении)!
Т. е. — приложение не просто записывает экран, а делает это постоянно, и ровно таким же образом постоянно отсылает запись на сервер. Как Вам, пользователи мобильного интернета? :)
О, а вот и запись экрана отправляется на сервер!
Обратите внимание на адрес *.appsee.com/upload (о том, что такое AppSee — в конце) слева и сам файл mp4 справа (все эти квадраты — видео с сыром виде, которое в живом эфире отправляется на сервер).
Ну и вишенка на торте: экран записывается даже тогда, когда Вы вбиваете данные своей банковской карты в приложение (и это необходимо для совершения заказа).
Ну и финальная вишенка: AppSee — это такая метрика (статистика) для приложений, и чуваки специализируются на таком вот способе отслеживать приложение для разработчиков/маркетологов.
Мало того, что записывать экран ни разу не круто, так еще к этим видео имеют доступ не только разработчики приложения Burger King, а и всякая шушера вроде партнеров AppSee (то есть — совершенно левые люди), да и сам AppSee тоже.
Напомню — видео записывается даже тогда, когда вы вбиваете данные своей банковской карты. И к нему имеют доступ кто попало.
Вот так выглядит само видео:
Слегка ужато, да, но ничто не мешает серверу в какой-то момент прислать конфиг для записи видео в HD и тогда будет совсем грустно.
Как же так, Burger King? :(
P. S: Еще там страшная Яндекс.Метрика и Crashlytics, и вот если Crashlytics можно хоть как-то доверять, то Яндекс собирает инфы столько, что глаза на лоб лезут.
______________________________________________________________________________________________________
UPD: приложение Burger King записывает прикосновения к экрану и может сопоставлять их с видео на экране, и эта информация как и видео доступна целой куче людей