Уязвимость от Apple: приложения пересылают содержимое экрана на сторонние сервера
У крупнейшего мирового IT-гиганта снова неприятности. Только отгремел скандал с критической уязвимостью FaceTime (напоминаем, что баг в функции групповых звонков позволял услышать разговор любого пользователя), как Apple снова поразила всех своей халатностью.
На этот раз утечке подверглись не звонки через сервис VoIP-телефонии, а все без исключения действия, происходящие на экране яблочного смартфона. В ходе исследования приложений, шпионящих за пользователями, журналисты из популярного технологического издания TechCrunch, пришли к выводу — основной инструмент слежки полностью одобрен Apple и является чуть ли не рекомендованным к использованию при разработке приложений.
Выяснилось, что разработчики множества по-настоящему популярных приложений для iPhone использовали сторонний аналитический модуль “The Glass Box”. Данный инструмент записывает и отправляет третьим лицам “session replay” — запись всех действий, происходящих на экране смартфона во время использования приложения. Очевидно, что под “видеозахват” попадали не только безобидные мелочи, но и конфиденциальная информация вроде банковских реквизитов.
Согласно пользовательскому соглашению приложений, использующих “The Glass Box”, вся личная и финансовая информация не должна попадать в аналитические отчеты. Однако, на практике так было далеко не всегда и лучшее тому доказательство — утечка данных более, чем на 20 000 пользователей приложения Air Canada. Люди покупали авиабилеты и не подозревали, что их платежные реквизиты и паспортные данные записываются и отправляются на сторонние сервера.
Какой бы возмутительной ни была данная угроза приватности, еще больше поражает реакция Apple на сложившуюся ситуацию. IT-гигант из Купертино переложил ответственность на разработчиков приложений, оштрафовал провинившиеся компании и даже пригрозил удалить из App Store тех, кто не начнет скрывать личные данные в “session replay”. При этом никакой оценки этичности использования “The Glass Box” от представителей Apple так и не прозвучало.