Aplikace sbírají data o uživatelích. To už asi nikoho nepřekvapí. Většinou však jde vesměs o statistická anonymizovaná data a riziko hrozí povětšinou pouze u různých pochybných titulů.
Zjištění serveru TechCrunch však ukazuje, že v případě iOS mohou sbírat citlivá data i renomované aplikace. Apple přitom proti této praxi nijak nezasahuje a dokonce ani nevyžaduje, aby byl uživatel na toto chování upozorněn.
Vývojářská data jako riziko
Pověstný zakopaný pes vězí v tom, jak větší společnosti testují design svých aplikací. Najímají si analytické firmy, které pomocí svých technologií implementovaných do daných aplikací zaznamenávají každý dotyk uživatele, což má vývojářům následně ukázat například to, jestli ovládací prvky fungují tak, jak bylo zamýšleno. Problém je, že jsou zaznamenávány nejen dotyky, ale také přímo snímky obrazovky.
Současné odhalení se týká konkrétně analytické společnosti Glassbox, jejíž služeb využívá například Air Canada, Hotels.com, Expedia a další známé společnosti. Bezpečnostní výzkumník, s nímž web TechCrunch na problematice spolupracoval, říká, že analytické nástroje Glassbox umožňují ve screenshotech zakrýt citlivá pole, jako jsou například údaje o kreditní kartě. Problém však je, že ne každá společnost toho využívá a navíc toto automatické skrývání ne vždy funguje. V praxi se tak ukázalo, že například aplikace Air Canada někdy odesílala screenshoty včetně údajů o platební kartě, či přímo s heslem uživatele.
Najmout si analytickou firmu není úplně levné a činí tak především velké společnosti, u nichž není příliš pravděpodobné, že by data cíleně zneužily. Problém však je, že se takto získaná data odesílají do cloudu Glassbox (či jiných obdobných firem) a přístup k nim může mít poměrně široké spektrum zaměstnanců. Otázkou také je, nakolik jsou tato analytická data zabezpečena před únikem při případném napadení hackery. Již několikrát zmiňovaná Air Canada například před několika týdny řešila (nesouvisející) únik dat více než 20 000 uživatelů.
Zřejmě nejhorším aspektem celého odhalení je fakt, že žádná ze společností nijak neupozornila uživatele své aplikace, že tato data shromažďuje. V praxi tak v podstatě nemáte jako běžný uživatel šanci poznat, jestli konkrétní aplikace náhodou nepoužívá tyto problematické nástroje. Otázkou zůstává, jestli Apple nějak na kauzu zareaguje. Získávání dat o používání aplikací je totiž pro vývojáře velmi důležité a úplný zákaz by byl asi značně problematický. Alespoň upozornění by však vyžadováno být mohlo.
