Jest wiele systemów analizujących, to co robimy z aplikacją na naszych urządzeniach. Powstały one na zapotrzebowanie analityków, marketingowców, programistów, specjalistów od interfejsów i handlarzy „big data”. Deweloperom pomagają w optymalizacji interfejsu i usuwaniu błędów, a reszcie dostarczają atrakcyjnych i wartościowych danych o naszych działaniach. Niby wiele złego w tym nie ma, ale jak zwykle diabeł tkwi w szczegółach.
Niemal jak nagranie z ekranu
Jeden z lepszych, czyli „gorszych” systemów zbierania takich informacji opisuje Tech Crunch. Sama usługa Glassbox jest tylko rozwiązaniem, które jak nóż kuchenny lub łom mogą stać się narzędziem pożytecznym, lub zbrodni, zależnie od intencji lub umiejętności użytkownika.
Glassbox dostarcza SDK dla programistów m.in. dla iOS, które rejestrują, gdzie w aplikacji pukamy w ekran i co wpisujemy w pola. Efektem jest rejestracja z linią czasową, która pokazuje dokładnie, jak nawiguje po ekranie użytkownik aplikacji. Ponieważ SDK ma dostęp do wyglądu interfejsu, wygląda to niemal jak nagranie z ekranu. Te dane są transmitowane na serwer Glassbox, a potem udostępniane wydawcom aplikacji. Może się to odbywać prawie w czasie rzeczywistym.
Tech Crunch cytuje The App Analyst i jego odkrycie, że linie Air Canada w swojej aplikacji, która używa SDK Glassbox, nie postarały się o zabezpieczenie wszystkich pól do wpisywania wrażliwych danych (hasła i numery kart kredytowych). Glassbox pozwala na maskowanie obszarów, które nie mają być śledzone. Deweloperzy Air Canada zrobili to źle.
Oznacza to, że również wrażliwe informacje podawane przez użytkowników aplikacji Air Canada trafiły do firmy, przez serwery Glassbox. Pikanterii sprawie nadaje niedawny wyciek danych klientów Air Canada używających tego programu. Ponoć aż 20 000 profili użytkowników mogło zostać narażonych na nieuprawniony dostęp.
Obrazek pochodzi z The App Analyst
No i co my im zrobimy?
Jednak nawet jeżeli dane z rejestracji naszych zachowań podczas używania programów są odpowiednio maskowane i zabezpieczane, to nadal pozostaje kwestia, czy są zbierane zgodnie z prawem. Wg Tech Crunch żadna aplikacja używająca Glassbox, którą sprawdzili, nie informuje użytkowników o zbieranych danych lub robi to w niedostateczny sposób. Należy przypomnieć, że od kilku miesięcy, Apple wymaga dołączenia do każdego programu „polityki prywatności”. Nawet jeżeli aplikacja nie przesyła żadnych danych do dewelopera (poza tymi zbieranymi przez system Apple po zgodzie użytkownika).
Takie działania są szczególnie ważne w aspekcie RODO. O ile zbieranie informacji o tym, jak używamy aplikacji, wydaje się nie być w zakresie zainteresowania tych regulacji, ale jeżeli w tych danych trafią się jakieś informacje osobowe lub inne wrażliwe, a użytkownik nie był właściwie poinformowany oraz nie ma możliwości wglądu, korekty i wycofania zgody oraz usunięcia danych, to firmę może czekać dotkliwa kara. Istotna będzie również reakcja Apple, na takie nadużycia i wpadki.
Ile aplikacji jest na SDK Glassbox w Appstore?
To małe Miki w porównaniu z tym: https://www.youtube.com/watch?v=nYTBZ9iPqsU Apple nie ma tutaj programu wypłacania nagród za informację o lukach bezpieczenstwa więc odkrywcy wolą to sprzedać na wolnym rynku.