Россиянин уличил приложение Burger King в слежке

Приложение сети быстрого питания Burger King записывает на видео все, происходящее на экране смартфона во время его использования, и даже в свернутом виде продолжает отсылать записи на сервер. Об этом написал изучивший код программы пользователь Pikabu fennikami.

Burger King использует приложение в информационных целях, для проведения промо-акций и приема заказов, есть версии для iOS (fennikami пишет именно о ней) и для Android. Как выяснилось, применяется программа не только для этого — iPhone автора поста с момента запуска приложения транслировал на удаленный сервер содержимое экрана.

Причем запись ведется даже тогда, когда пользователь вводит данные банковской карты. Отправляются ролики на сайт appsee.com — он принадлежит аналитической компании Appsee, которая помогает разработчикам приложений оптимизировать их, анализируя поведение пользователей при помощи такого, довольно неоднозначного метода.

В пользовательском соглашении Burger King (редакция от февраля 2018-го года, которая была опубликована на сайте на момент написания этой заметки) утверждается (пункт 3.3), что "передача данных банковской карты производится с соблюдением всех необходимых мер безопасности", "только на Авторизационный сервер по защищенному каналу" и "сохраняются только на специализированном сервере платежной системы", при этом самой компании Burger King данные банковской карты не сообщаются.

О записи содержимого экрана в пользовательском соглашении прямо ничего не говорится, с натяжкой такой метод исследования поведения пользователей можно подвести под пункт 5.2 ("компания имеет право контролировать и корректировать содержимое приложения"), а передачу данных на сервер Appsee — под пункт 5.6 ("компания вправе передать права и обязанности по настоящему Соглашению третьим лицам в целях исполнения настоящего соглашения, без дополнительного согласия пользователя").

В пункте 7.4 также сказано, что "компания не несет ответственности за возможный ущерб или убытки, вызванные использованием приложения". То есть если записанное для Appsee видео с данными банковской карты попадет к киберпреступникам, и они обчистят банковский счет пользователя, привлечь за это к ответственности Burger King будет практически невозможно.

Есть в соглашении и раздел о конфиденциальности пользовательских данных, где устанавливающий приложение (и, как правило, просто ставящий галочку на стартовом экране, не читая многостраничный текст) пользователь дает согласие на их хранение и обработку, в том числе "третьими лицами для исполнения обязанностей Компании". В список передаваемых данных включены "иные технические данные, необходимые для улучшения функционала и работоспособности приложения" — вероятно, под это определение можно подвести фиксацию действий пользователя в программе. Правда, квалифицировать так данные банковской карты вряд ли получится.

Источник

Доброго времени суток, вчера в горячее вышел пост https://pikabu.ru/story/prilozhenie_burger_king_tayno_zapisy... где тс @fennikami рассказывал как приложение БургерКинг пишет видео с экрана телефона и собирает персональную информацию с помощью сервиса appsee.

Заранее скажу что я не защищаю БургерКинг (к меня в стране его даже нет), просто стало обидно смотреть на стадный инстинкт пользователей пикабу, которые вывели пост в лучшее, а комментарии пользователей которые объясняли как работает сервис appsee и что никакой персональной информации не собирается минусили.

Так вот, я хочу вкратце рассказать что собирает сервис appsee, как выглядит видео в лк сервиса, зачем нужна запись касаний экрана. Изначально хотел вставить скрины с реального приложения, но думаю не имею права на это, к тому же много коллег сидят на пикабу. Поэтому будет только теория и несколько скринов с офф сайта апси.

Как Вы уже поняли appsee записывает видео каждой сессии (каждого запуска приложения). Качество конечно не хулхд но понять что происходит можно. Эта фича отличает appsee от ряда других аналитик таких как Гугл аналитика или крашлитикс. Так же как и в других аналитиках можно передавать события с параметрами при каких-то действиях пользователя.
Также при первом запуске новой версии приложения сервис делает скриншот каждого экрана чтобы потом на них наносить хитмапы (точки касаний по экрану).

И вот мы пообщались к самому интересному, как выгялдят поля ввода личных данных в appsee. Что по поводу этого говорит нам пользовательское соглашение самого appsee?

Вкратце для тех кто не учил английский - сервис сам прячет элементы которые могут содержать персональную информацию. Если разработчик показывает её каким-то изощренным образом то он должен сам прятать её или вообще тормозить запись видео. Поэтому на видео поля ввода видны как черные прямоугольники.
Так для чего же это все нужно спросите Вы? По видео очень легко воспроизвести краш приложения, а не сидеть гадать почему приложение упало смотря на строчку текста в крашлитиксе. Также видео и хитмапы дают понять удобен ли для пользователя интерфейс или он в истерике закрывает и удаляет приложение после безуспешных попыток найти личный кабинет. Все это направлено на то чтобы сделать приложения удобными для пользователя, а не для того чтобы навредить ему.
Кстати пока писал этот пост услышал что представитель БургерКинг предоставил видео( что @fennikami не сделал) в котором видно что данные карт закрываются хотя само видео найти не смог.

Сегодня в горячем пролетел пост про то, какой же страшный бургеркинг и как он шпионит за людьми (https://pikabu.ru/story/prilozhenie_burger_king_tayno_zapisyivaet_yekran_telefona_6021526).

Если кратко, то некий юный пикабушник обнаружил в приложении для iOS (а может и андроид) сервисы Яндекс.Метрика и AppSee, который способны фиксировать происходящее на экране и сохранять это на удаленном сервисе.

Учитывая то обилие одобрительного гула, которое разразилось в комментариях, хотелось бы внести немного ясности:

1. Запись экрана происходит только во время работы приложения. Если тот факт, что бургеркинг видит как вы листаете меню бургеркинга в официальном приложении бургеркинга вас смущает, то по-моему это нефигово отдает паранойей!

2. Касательно "информация как и видео доступна целой куче людей" - какой куче? Все данные передаются по зашифрованному протоколу HTTPS, что видно даже из приведенных автором оригинального поста скриншотов. Соответственно, "куча людей" - это:

а) Бургеркинг;

б) Администрация серверов AppSee;

в) Вы;

...

г) Надмозгу, который чисто случайно умудрился угадать полный УРЛ видеоролика, состоящий из длиннющего хэш-кода (но в таком случае ему уж проще угадать ваш логин/пароль от интернет-банкинга, а потом угадать комбинацию из отправленного СМС).

3. Про Яндекс.Метрику, от которой, по словам автора "Глаза на лоб лезут": данный сервис записывает информацию о перемещении курсора по экрану, скроллах страницы и некоторую информацию об устройстве пользователя (разрешение экрана, версию ОС и прочую информацию, которую ваше устройство ИТАК СООБЩАЕТ КАЖДОМУ САЙТУ ПРИ ПОСЕЩЕНИИ). Если же и вы считаете, что Яндекс.Метрика - это ужас, способный поработать человечество, то у меня для вас плохие новости:

Вы уже давно "под колпаком".

Там еще был момент про то, что приложение записывает видео и в момент ввода данных кредитной карты. Но:

1. Кроме слов никакого доказательства этого факта, ВНЕЗАПНО, нет (а ведь это была бы самая мякотка);

2. С учетом приведенного на скриншоте качества картинки, за сохранность данных можно вообще не беспокоиться, а догадка, что "кто-то может удаленно включить HD" - это всего лишь догадка.

Помните, что у любого автора приложений есть куда больше способов нагрести о вас конфиденциальной информации (а может они ее и нагребают), используя куда менее "палевные" методы. Ну и не стоит видеть заговоры там, где их нет - авторы апплетов просто хотят видеть, как оные ведут себя на устройствах их клиентов. Как правило, это делается с одной целью - обнаружить недоработки и исправить их, так что тут я полностью на стороне разрабов бургеркинговского приложения.

Напоследок хочется сказать, что за три месяца своего существования, автор оригинального поста уже предпринимал несколько попыток кого-нибудь "разоблачить", начиная от псевдоДурова, заканчивая излиянием на тему какой плохой Сбербанк, и какой при этом хороший Тинькоф. Ну и немного подозрительный на этом фоне заминусованный пост про яндекс/убер был... Вряд ли это засланный казачок, но определенное мнение складывается...

P.S. Что касается меня, то я вообще из провинциального казахстанского городка - о бургеркинге я могу сказать то же, что и о макдональдсе - видел в кино :) Соответственно, никак с оным не связан и в глаза никогда не видел.

P.P.S. Пардон за сумбур, просто как-то резко бомбануло от того, как много народу купилось на паранойю - старался писать быстро, пока стул не дотлел.

UPD: Ответ от Burger King Мобильное приложение Burger King с удаленным заказом не собирает персональных данных своих подписчиков.

Информация, что имеется открытая передача личных данных (данные карт) не подтверждена.

UPD (14:46): От автора поста

___________________________________

Мой блог: https://fennikami.cf, для связи со мной пишите на https://fennikami.cf/contact/

Привет! Мне 18 и я бородат в свободное время ковыряю разные приложения.

Сегодня дошли руки до распиаренного приложения Бургер Кинга (того самого, где «бургер — бесплатно» и промокоды для друзей).

Значит открываю приложение на своем айфончике, смотрю за трафиком. И обнаруживаю это:

Что это такое?

А это запрос от приложения к серверу (сверху) с инфой вроде его версии, модели телефона, времени запуска, разрешении дисплея. Вроде бы все окей, да?

Но! В ответ телефону прилетает информация (снизу) о том, как записывать видео с экрана. o_O

Причем, параметр MaxVideoLength (максимальная длина видео) указан как "0", что значит — бесконечная запись (при запущенном приложении)!

Т. е. — приложение не просто записывает экран, а делает это постоянно, и ровно таким же образом постоянно отсылает запись на сервер. Как Вам, пользователи мобильного интернета? :)

О, а вот и запись экрана отправляется на сервер!

Обратите внимание на адрес *.appsee.com/upload (о том, что такое AppSee — в конце) слева и сам файл mp4 справа (все эти квадраты — видео с сыром виде, которое в живом эфире отправляется на сервер).

Ну и вишенка на торте: экран записывается даже тогда, когда Вы вбиваете данные своей банковской карты в приложение (и это необходимо для совершения заказа).
Ну и финальная вишенка: AppSee — это такая метрика (статистика) для приложений, и чуваки специализируются на таком вот способе отслеживать приложение для разработчиков/маркетологов.

Мало того, что записывать экран ни разу не круто, так еще к этим видео имеют доступ не только разработчики приложения Burger King, а и всякая шушера вроде партнеров AppSee (то есть — совершенно левые люди), да и сам AppSee тоже.
Напомню — видео записывается даже тогда, когда вы вбиваете данные своей банковской карты. И к нему имеют доступ кто попало.

Вот так выглядит само видео:

Слегка ужато, да, но ничто не мешает серверу в какой-то момент прислать конфиг для записи видео в HD и тогда будет совсем грустно.

Как же так, Burger King? :(

P. S: Еще там страшная Яндекс.Метрика и Crashlytics, и вот если Crashlytics можно хоть как-то доверять, то Яндекс собирает инфы столько, что глаза на лоб лезут.

______________________________________________________________________________________________________
UPD: приложение Burger King записывает прикосновения к экрану и может сопоставлять их с видео на экране, и эта информация как и видео доступна целой куче людей