Domů » Bleskovky » Apple umožňuje aplikacím zaznamenávat každý váš dotyk bez vašeho vědomí

Apple umožňuje aplikacím zaznamenávat každý váš dotyk bez vašeho vědomí

Aplikace sbírají data o uživatelích. To už asi nikoho nepřekvapí. Většinou však jde vesměs o statistická anonymizovaná data a riziko hrozí povětšinou pouze u různých pochybných titulů.

Zjištění serveru TechCrunch však ukazuje, že v případě iOS mohou sbírat citlivá data i renomované aplikace. Apple přitom proti této praxi nijak nezasahuje a dokonce ani nevyžaduje, aby byl uživatel na toto chování upozorněn.

Vývojářská data jako riziko

Pověstný zakopaný pes vězí v tom, jak větší společnosti testují design svých aplikací. Najímají si analytické firmy, které pomocí svých technologií implementovaných do daných aplikací zaznamenávají každý dotyk uživatele, což má vývojářům následně ukázat například to, jestli ovládací prvky fungují tak, jak bylo zamýšleno. Problém je, že jsou zaznamenávány nejen dotyky, ale také přímo snímky obrazovky.


Současné odhalení se týká konkrétně analytické společnosti Glassbox, jejíž služeb využívá například Air Canada, Hotels.com, Expedia a další známé společnosti. Bezpečnostní výzkumník, s nímž web TechCrunch na problematice spolupracoval, říká, že analytické nástroje Glassbox umožňují ve screenshotech zakrýt citlivá pole, jako jsou například údaje o kreditní kartě. Problém však je, že ne každá společnost toho využívá a navíc toto automatické skrývání ne vždy funguje. V praxi se tak ukázalo, že například aplikace Air Canada někdy odesílala screenshoty včetně údajů o platební kartě, či přímo s heslem uživatele.

Levá část ukazuje softwarové zakrytí citlivých polí před tím, než je pořízen screenshot. Problém je, že v tomto případě byl nástroj implementován špatně a při pořízení snímku obrazovky nedošlo k zaznamenání černých obdélníků.

Najmout si analytickou firmu není úplně levné a činí tak především velké společnosti, u nichž není příliš pravděpodobné, že by data cíleně zneužily. Problém však je, že se takto získaná data odesílají do cloudu Glassbox (či jiných obdobných firem) a přístup k nim může mít poměrně široké spektrum zaměstnanců. Otázkou také je, nakolik jsou tato analytická data zabezpečena před únikem při případném napadení hackery. Již několikrát zmiňovaná Air Canada například před několika týdny řešila (nesouvisející) únik dat více než 20 000 uživatelů.

Zřejmě nejhorším aspektem celého odhalení je fakt, že žádná ze společností nijak neupozornila uživatele své aplikace, že tato data shromažďuje. V praxi tak v podstatě nemáte jako běžný uživatel šanci poznat, jestli konkrétní aplikace náhodou nepoužívá tyto problematické nástroje. Otázkou zůstává, jestli Apple nějak na kauzu zareaguje. Získávání dat o používání aplikací je totiž pro vývojáře velmi důležité a úplný zákaz by byl asi značně problematický. Alespoň upozornění by však vyžadováno být mohlo.


Tomáš Krompolc

Fanoušek Androidu, Googlu a moderních technologií. Rád si poslechne tvrdší hudbu a mezi jeho nejoblíbenější seriály patří ty z produkce Netflixu. V současné době je spokojeným majitelem telefonu OnePlus 6.
avatar
1300
  Sledování diskuze  
nejnovější nejstarší nejlépe hodnocené
Upozornit na
M
Anonym
M

[odkaz] Co sa stane v las vegas neostane v las vegas.

uni
Uživatel
uni

Zcela chybí informace, jaký je stav na Androidu.

adam
Anonym
adam

Zcela tu chybí informace, zda se ministerstvo zbaví takto děravých apple produktů.

uni
Uživatel
uni

Myslíš aplikací. Ano, mělo by se jich zbavit.

htcjirka
Uživatel
htcjirka

Ne aplikaci, produktu Apple, psal Adam. Jsi takhle tupý jen po ránu, v pátek anebo trvale?

adam
Anonym
adam

Uni: aplikace může dělat jen to, co apple dovolí. Takže tohle opravdu není chyba aplikace ale samotného Applu.
A za 2. jak např. omluvíš to, že adobe premier dokáže odpálit reproduktory MacBooku? Opět je to problém aplikace? Odpovím si sám, není..
Apple je opravdu záruka kvality xD

zlychlapec
Uživatel
zlychlapec

Tupý jsi ty jirko. Adame to není pravda, jedná se o analytické nástroje, který běžně využívají všichni. Tohle absolutně není o Apple. Dnes už i naprosto základní uživatelé využívají na svých webovkách věci jako hotjar, které mohou dělat to samé. Ve firmách se běžně používají time-management nástroje, které opět snímají obrazovku třeba VŠECH zaměstnanců a ten problém je úplně stejný. Je to tedy problém internetu? Windows? Čeho? Pokud to Apple začne blokovat, bude první ve světě a jedině dobře. Pokud to nebude dělat, asi těžko se mu dá vyčítat, že někdo zneužívá možnosti analytických nástrojů ke svému obohacení. Tak zakážem… Číst vice »

uni
Uživatel
uni

Johny (neregistrovaný): Ámen.

Menty
Uživatel
Menty

uni: Že by klasika? Článek je o děrovaném iOS, ale tvůj první komentář je samozřejmě offtopic o Androidu. Běž se léčit.

adam
Anonym
adam

Johny: Pokud někdo snímá obraz co právě provádím a odesílá to, pak bych o tom měl být minimálně informován a případně měl možnost to zakázat.

„Ve firmách se běžně používají time-management nástroje, které opět snímají obrazovku třeba VŠECH zaměstnanců“
– Důležité je to slovo „zaměstanci“ – pokud ty si nainstaluješ nějakou aplikaci, tak si stěží zaměstanec, ty jsi zákazník a tohle si opravdu nemůžou dovolit.

Je to podobná situace jako zneužití analytického nástroje u Facebooku.
Takže opět, když můžou ostatní, tak je to v pořádku!! Ne není a tvrdě bych to potrestal stejně jako u FB, ať si ostatní daj bacha.

zlychlapec
Uživatel
zlychlapec

adam: pak to ale furt není problém Apple, že tě daná aplikace neseznámí s tím, že sbírá cookies nebo používá analytické nástroje. Jediný výsledek, který to bude mít je, že teď budeš v každé aplikaci potvrzovat, že souhlasíš s jejich odesíláním, nebo nebudeš moct aplikaci plnohodnotně používat. To je tak maximum co se tím docílí. Opět to ale nemá nic společného s Apple. Je naprosto nesmyslný aby apple kontroloval, která data zařízení odesílá, pokud to nejsou data, která jsou uvnitř telefonu.

adam
Anonym
adam

Johny, potom nechápu, proč Apple zakazuje in-app nákupy ( a hry prostě do svého store nevpustí )
Zde to jde a jinde ne? Je to problém Applu a hotovo, tohle nejde okecat.

zlychlapec
Uživatel
zlychlapec

Protože inapp nákupy jsou narozdíl od „obrázků“ hnaný přes bezpečnostní certifikaci? Screenshot nebo obrázek vytvořený aplikací nic takového nemá.

uni
Uživatel
uni

Menty: Á, zájezd zmatenců z Bermud začíná:)

M
Anonym
M

Nie nechyba. Skus si este raz precitat nadpis o com clanok je. „Apple umožňuje aplikacím zaznamenávat každý váš dotyk bez vašeho vědomí“ Kde je tam spominany android a dovod preco v clanku o apple by sa malo pisat o androide. Sme zvyknuty, ze sa nedokazes vyjadrovat k temam a vacsinou si mimo, ale toto uz je moc aj na mna.

zlychlapec
Uživatel
zlychlapec

Tak za prve tohle neni problem jen Apple a za druhe v americe je docela běžné, že společnosti mají všechy údaje o vaší kartě.

Filip
Anonym
Filip

Tak vlastně žádný problém že se cizí společnost dostane k mé kartě? To chceš říct? Apple používám, ale tohle je mega průšvih.

uni
Uživatel
uni

Bezesporu to není nic nového, pravděpodobně letitá praxe a nic se doposud neřešilo….

Filip
Anonym
Filip

Dlouhotrvající problém není menší problém.

zlychlapec
Uživatel
zlychlapec

Ne, to skutečně neříkám. Jen říkám, že v Americe je tohle vnímáno úplně jinak než tady. Já zrovna jsem člověk, který dbá hodně na bezpečnost, ale tohle je dost nafouknutá bublina, která se navíc absolutně netýká Apple, ten problém je daleko širší a jak píšu nahoře, skutečně nevím, jak bys tomu třeba chtěl zabránit. To není že ten system nabízí nějakou „nadstandardní“ funkci. Tohle je prostě funkce jakéhokoliv systému, který umožňuje interakci. Proto místo hesel člověk píše hvězdičky. Tak chceš psát místo karet taky hvězdičky? Co se hesel týče, v tomto případě je to jen pokud to heslo dáš odkrýt,… Číst vice »

Filip
Anonym
Filip

Nevim jak je to u jiných systémů, ale když se aplikace třetích stran přes veřejné API dostanou k nezamaskovanyn údajům o kreditní karte a heslam, pak je to vina OS že to dovolí, bez ohledu jak je to u jiných.

uni
Uživatel
uni

Špatně pochopeno. Toto je součástí aplikace, nikoli třetí strana.

Filip
Anonym
Filip

Aha, BFU nerozumí co znamená aplikace třetích stran, nebo-li 3rd party application :D Nastuduj si a pak se vrať, nemám čas vysvětlovat základy

uni
Uživatel
uni

Nemusíš být na sebe tak přísný, stačí i jen lépe číst:
„které pomocí svých technologií implementovaných do daných aplikací zaznamenávají každý dotyk uživatele“.

Tedy pro tvé lepší pochopení, nejedná se o 3rd party aplikaci, žádnou takovou nemáš nainstalovanou.

J, stojí mě to čas, nemáš zač.

Filip
Anonym
Filip

uni: “které pomocí svých technologií implementovaných do daných aplikací zaznamenávají každý dotyk uživatele”.
V tvem pripade nestaci jenom cist, ale predevsim porozumet psanemu textu.D ulezite jsou slova „implementovaných do daných aplikací“. Co si myslis ze je dana aplikace? Jas si myslis ze clovek vyuziva sluzeb Air Canada v ios? Bez aplikace?

„V praxi se tak ukázalo, že například aplikace Air Canada někdy odesílala screenshoty včetně údajů o platební kartě, či přímo s heslem uživatele.“
Aplikace Air Canada je proste 3rd party aplikace. Promin ale nemas cas ti vysvetlovat trivialni zaklady.

Filip
Anonym
Filip

:D Aplikace Air Canada neni aplikace a neni nainstalovana:)

zlychlapec
Uživatel
zlychlapec

Filip: Pro lepší pochopení viz moje příspěvky nahoře. Klasickej článek smartmanie na nasbírání prokliků.

Filip
Anonym
Filip

Johny, tvuj prispevek jsem cetl, klasickej koment fanouska, ze nic neni problem. Ano, analyticke nastroje jsou bezne, problem je, ze jim
OS da pristup ke kredini karte a heslum. Opravdu ti prijde normalni ze se 3rd party aplikace pres analyticke tooly dostane k citlivym datum?
Tak proc vlastne resit securitu, jsou to verejne data:)

zlychlapec
Uživatel
zlychlapec

Chápeš, že jim nedává přístup ke kartě ani heslům? Že ta aplikace vyfotí obrazovku? Přečti si to ještě jednou. Možná nerozumíš jak fungují počítače. A jestli mě to přijde normální absolutně není podstatné, protože tohle je prostě realita dnešního světa. Každý nástroj dnes dokáže vzít snímek ze stránky či aplikace když ji používáš a odeslat jí. Naprosto běžná věc, která se děje všude na všech systémech a platformách.

Filip
Anonym
Filip

Aha, jenom vyfoti obrazovku. Cool. Jeste jednou, pro resit securitu, pristup k citlivym udajum, kdyz staci vyfotit. To ze tobe to prijde normalni, nebo ze to je realita dnesniho sveta, neznamena ze mi stav nevadi a ze clanek je clickbait.

zlychlapec
Uživatel
zlychlapec

Ale já se vůbec nebavim o tom, co tobě nebo mě vadí, chápeš to? :D Já ti řikam jak to je a že to není problémem Apple, ale obecným problémem.

Filip
Anonym
Filip

Johny: Ale problem Applu to je, on umoznuje aplikacim delat screenshoty bez vedomi uzivatele. Opravdu neni normalni ze by aplikace mohla kdykoli odeslat screenshot.

zlychlapec
Uživatel
zlychlapec

Opravdu to normální je. Ach jo. Pokud se nevyznáš v dané problematice, může ti to připadat zvláštní, ale není to nic neobvyklého. Nemluvě o tom, že jde o naprosto základní funkci. Hele můžeš to obracet shora, sdola, ale realitu světa prostě nezměníš. Zajímá tě jestli to nedělá třeba Aukro? Nebo Vodafone když jim platíš?

Filip
Anonym
Filip

„že jde o naprosto základní funkci.“
To snad nemyslis vazne. Prave kvuli takovym rezignovanym jedincum jako ty dnes soukromi vubec neexistuje. A kdyz pristi rok te bude kazda aplikace odposlochavat, tak ti to prijde taky normalni, protoze to bude realita a zakladni funkce v kazde aplikaci.

zlychlapec
Uživatel
zlychlapec

Ach jo… debata s bfu, really… tak tady máš citaci z techradaru: „Glassbox is one of many session replay services on the market. Appsee actively markets its “user recording” technology that lets developers “see your app through your user’s eyes,” while UXCam says it lets developers “watch recordings of your users’ sessions, including all their gestures and triggered events.” Mně tohle nebaví. Buď máš dostatek inteligence na to, pochopit z kontextu co je myšleno normální a co je rozdíl v tom co já si myslim že je nebo není normální – zvlášť, když ti to tam napíšu. Nebo nemáš a… Číst vice »

Filip
Anonym
Filip

Si fakt stejne tupe BFU jako UNI. Nemusis mi davat zadne citace. To ze neco je dnes realitou, neznamena ze mi to prijde normalni. Umis to pochopit? Jsou lide co maji vlastni nazor na sledovani vseho, a ty zacnes urazet a projevovat se jako BFU, kdyz napises ze to je zakladni funkce.
Ne v z zadnem kontextu mi tohle normalni neprijde. Si podej ruce s unim, alespon si byl schopen pochopit ze se to nemuze dit bez apkikace.

uni
Uživatel
uni

Filip (neregistrovaný): Boha, bylo ti tu opakovaně vysvětleno a furt meleš hovadiny…

Filip
Anonym
Filip

uni – vysvetleno, myslis to legendarni vysvetlovani ze aplikace Air Canada neni aplikace? Muzes pokracovat.

PetrCBR
Uživatel
PetrCBR

Filip: schopnost ‚grabnout‘ obrazovku ma kazdy graficky system (Windows pocinaje a iOS konce) … vzdy to tak bylo.

PetrCBR
Uživatel
PetrCBR

Filip: tady napr. jak to udelat v androidu
[odkaz]

jak ve windows
[odkaz]

jak v MAC OS
[odkaz]

jak v iOS
[odkaz]

Filip
Anonym
Filip

PetrCBR: Diky za linky, ale ze to jde, je snad jedine, na cem jsme se vsichni shodli:) Vzdyt jsem psal o API. Ale tak, jako mi kazda aplikace neodesila kontakty, jenom proto ze na to je API, tak bych cekal ze delani screenshotu na pozadi bude taky rizeno pravami. Je desive ze to nikomu nevadi,protoze je to realita->je to normalni->o tom se nediskutuje.

Tray1
Uživatel
Tray1

To je hodně blbý. Jistě, je to i na jiných místech a OS, ale Apple by měl začít pracovat na nápravě toto co nejvíce minimalizovat.

U důvěryhodných aplikací se to nejspíše nestane. Ne?

lukass71
Uživatel
lukass71

Tobe Air Canada, hotels.com nebo expedia neprijdou jako duveryhodne aplikace?

zlychlapec
Uživatel
zlychlapec

On ten článek je napsanej tak, jako že jde o nějaké šokující zjištění u jedné aplikace. Faktem je ale, že se zabývá jen službou Glassbox. Člověk, co se s analytikou současných aplikací a webů nesetkává může tak snadno nabýt dojmu, že jde o nějaký bezpečnostní breach u jedné firmy, ale tak to není. Je to obecný problém u všech. Jmenuj jakoukoliv větší společnost a můžeš si být tak na 80% jistý, že to je tam také. A ne v rámci nějaké aplikace, ale na webu, všude kde je třeba získávat data o uživatelích.

lukass71
Uživatel
lukass71

Vzdyt jo. Ono uz vetsina clanku o Applu tady neni ani o Applu, ale aspon to udela mistnim trollum radost kazdy den :D

uni
Uživatel
uni

lukass71: To je fakt. Poslední normální článek tu byl tak u recenze iPhone Xr, půl roku produkují jen „fakapy“.

Menty
Uživatel
Menty

uni: Samozřejmě, nikoho z nás nepřekvapilo, že pro tebe budou smysluplné jen články o Apple ????

Martin
Anonym
Martin

Proč píšete, že Apple to dovoluje? V podmínkach mají, že tohle je zakázené, to že to natajno dělají nějací vývojáři je věc jiná. Ze smartmanie se stává pěknej odpad.
Ale co by „novinář“ neudělal pro proklik, že?

adam
Anonym
adam

Martin: pokud je to zakázané, tak je otázka proč tyto appky Apple nezaříznul.
Promiň, ale kdo trochu ví jak funguje schvalování aplikací v appstore, tak nemůže vypustit větu „natajno dělají nějací vývojáři“.. Takhle to prostě nefunguje.

zlychlapec
Uživatel
zlychlapec

Protože opět, není možné jak zjistit, že to ta daná aplikace dělá. Apple nemůže vidět a nemůže mít vliv na to, jestli daná aplikace odesílá screenshot kreditní karty nebo jestli je to obrázek který si v daný aplikaci nakreslil. Datově jsou ty věci úplně stejný. Chápeme se? Jediný jak bys tomu mohl zamezit je skrytí čísla karet pod hvězdičky. Ale to se bavíme o nějakém internetovém a aplikačním standardu a ne o Apple.

uni
Uživatel
uni

Johny (neregistrovaný): Jak píšeš.
Nepřestávám se divit, jak nízko ve znalostech technologií zdejší komunita je….

Filip
Anonym
Filip

uni: Uz vis co je aplikace? Nejzaostalejsi BFU mluvi o znalostech:D:D:D

zlychlapec
Uživatel
zlychlapec

uni mi je někde, ale jako bfu se tu projevuješ hlavně ty.

Filip
Anonym
Filip

rika nejvetsi lama johny, chapu uni mluvi stejnym jazykem ktery jsi schopen pochopit

Xko
Anonym
Xko

Apple dal včera vývojářům sledovacích aplikacích ultimátum
Máte na to jeden den aby jste to opravili nebo je smažem

To už nenapíšete co ?
A chová se takhle Google?
Amen

Tray1
Anonym
Tray1

No tak to všechna čest. ☺️

Filip
Anonym
Filip

Super, doufám, že se mi teď Johny a uni omluví, ještě včera jim přišlo sledování normální a téměř tabu, aby na to někdo upozorňoval.

Skylark
Uživatel
Skylark

Do 24 hodin musí vývojáři aplikace upravit, jinak budou z AppStore smazány. Problem solved.