Wczoraj po południu otrzymaliśmy odpowiedź od rzecznika mBanku na pytanie, dlaczego ich aplikacja odczytuje schowek bez uprzedzenia. Niestety odpowiedź zdecydowanie nie wyczerpuje tematu.
Aplikacja jest bezpieczna
Oczywiście w to nie wątpimy, ale czy bezpieczne są nasze dane, które mogą znajdować się w schowku, nadal nie wiemy. Oto odpowiedź, którą otrzymaliśmy:
Niektóre elementy aplikacji mobilnej mBanku na iOS mogą wykorzystywać funkcję schowka. Jest to niezbędne do prawidłowego działania samej aplikacji.
Zapewniamy, że nasza aplikacja – nie tylko na iOS – jest bezpieczna.
Krzysztof Olszewski
rzecznik prasowy
Jak widzicie, nie dowiedzieliśmy się nic. Co gorsza, mam wrażenie, że w mBanku nie wyczuli powagi sytuacji lub pytanie ich mocno zaskoczyło i nie do końca zostało zrozumiane. Dlatego postaram się teraz być bardziej konkretny.
- Czy w mBanku zdają sobie sprawę, że w schowku użytkownicy często przenoszą i przetrzymują wrażliwe dane? Mogą to być hasła kopiowane z pęku kluczy, numery telefonów, zdjęcia.
- W jakim celu aplikacja zaraz po uruchomieniu i jeszcze przed zalogowaniem odczytuje zawartość schowka? Czy szuka tam danych przyśpieszających interakcje w programie? A może mBank w naszych schowkach szuka zaskórniaków, aby je zdeponować na naszym koncie?
- Czy w mBanku w ogóle wiedzą, że ich aplikacja bez zgody, interakcji, ani informowania użytkownika odczytuje dane ze schowka?
- Czy w mBanku już ktoś testował aplikację na becie iOS 14, która informuje użytkownika o próbach odczytu danych ze schowka?
- Czy w regulaminie lub informacji o przetwarzaniu danych osobowych mBank informuje, że przetwarza również zawartość schowka?
- Kiedy ukaże się aktualizacja aplikacji, w której mBank nie będzie już bez zgody użytkownika przeszukiwał schowek?
Dostęp do schowka może mieć uzasadnienie
Gdyby użytkownik był informowany, że aplikacja np. sprawdza, czy w schowku nie ma danych przypominających numer konta, aby potem je zaproponować przy wykonywaniu przelewu, jak robią niektóre programy do śledzenia przesyłek, wyszukując numery listów przewozowych w schowku, wszystko byłoby w porządku. Niestety nic na to nie wskazuje, a odpowiedź rzecznika nie jest nawet wymijająca.
Bardzo proszę, aby w mBanku poważniej potraktowano ten problem, bo podsłuchiwanie danych ze schowka, bez informowania o celu, w jakim się to robi, zakrawa na przetwarzanie danych osobowych bez zgody użytkownika.
Jeszcze raz prosimy, ale tym razem o rozważne i konkretne odpowiedzi.
A może z tymi pytaniami zwrócić się do mBanku. Stawiam orzechy przeciw dolarom, że w Waszej redakcji wszyscy wiedzą co to mBank. A w mBanku połowa ekipy nie wie, że istnieje mojmac.pl. Nie wspominając już nawet o jego czytaniu 🙂
5 trochę nie trafione, chyba, ze te dane są gdzieś przesyłane do przetworzenia. Przecież to user używa aplikacji, wiec to user przetwarza dane przy pomocy aplikacji mbanku. Przecież jak w photoshopie obrabiam fotkę, to nie Adobe ją przetwarza…
Nie całkiem… przetwarzanie może odbywać się wewnątrz aplikacji. Nie muszą przechwycone dane od razu być wysyłane „do mamusi”. Może aplikacja sprawdzać, czy w schowku znajduje się np. zdjęcie i z niego doczytywać jakieś dane (to tylko przykład). Potem te dane dopiero wysłać. I to jest przetwarzanie bo robi to aplikacja bez wiedzy i interakcji z strony użytkownika. Czyli odpowiada za to wydawca aplikacji.