В конце прошлой недели журналисты издания TechCrunch опубликовали результаты собственного расследования, проведенного при поддержке эксперта App Analyst и посвященного тому, как приложения шпионят за пользователями. Оказалось, что множество популярных приложений, принадлежащих авиакомпаниям, производителям одежды и так далее (включая Abercrombie & Fitch, Expedia, Hotels.com, Singapore Airlines), использовали в своих продуктах сторонний аналитический инструмент Glassbox.
Данная функциональность позволяет приложениям передавать на удаленные серверы так называемые session replay, то есть, по сути, разработчики записывают и могут воспроизводить все происходившее на экране устройства пользователя, включая все нажатия, жесты и всё, что было набрано на клавиатуре.
Как правило, определенные поля в формах и некоторые части экрана во время записи автоматически цензурируются (к примеру, номера банковских карт пользователей и личные данные определенно не должны записываться в открытом виде), однако с этим иногда возникают «проколы». Например, ранее вышеупомянутый специалист App Analyst обнаружил, что официальное приложение Air Canada для iOS записывало сессии пользователей, но не вымарывало из записей пароли, данные банковских карт и номера паспортов. В итоге это привело к утечке данные 20 000 человек.
Разумеется, изначально подобная функциональность предназначалась исключительно для разработчиков, чтобы те могли понимать, как именно пользователи взаимодействуют их продуктом, разобраться, почему возникает та или иная ошибка, и так далее. На деле же оказалось, что многие приложения вообще никак не информируют пользователей о применении Glassbox, то есть следят за людьми тайно.
После разоблачающего материала, опубликованного на страницах TechCrunch, представители Apple поспешили напомнить разработчикам, что такие практики напрямую нарушают правила компании, а людей всегда следует открыто уведомлять о подобной слежке, и лишь после получения однозначного осознанного согласия разрешается записывать, логгировать и как-либо «протоколировать» действия пользователя. В Apple заверили, что компания уже уведомила проштрафившихся разработчиков о нарушениях и «готова предпринять незамедлительные действия, если это потребуется». То есть приложениям грозит удаление из App Store.
Интересно, что с официальным заявлением были вынуждены выступить и разработчики Glassbox. Представители компании заверили издание The Verge, что их клиенты «не заинтересованы в шпионаже за своими пользователями» и подчеркнули, что Glassbox был создан исключительно для улучшения опыта пользователей. Разработчики Glassbox полностью поддержали точку зрения Apple и заявили, что компании обязаны информировать пользователей о том, что их действия записываются, а также должны использовать предоставляемые инструменты для «цензурирования» записей, чтобы личные данные людей не попадали к третьим лицам.