Apple umožňuje aplikacím zaznamenávat každý váš dotyk bez vašeho vědomí

Aplikace sbírají data o uživatelích. To už asi nikoho nepřekvapí. Většinou však jde vesměs o statistická anonymizovaná data a riziko hrozí povětšinou pouze u různých pochybných titulů.

Zjištění serveru TechCrunch však ukazuje, že v případě iOS mohou sbírat citlivá data i renomované aplikace. Apple přitom proti této praxi nijak nezasahuje a dokonce ani nevyžaduje, aby byl uživatel na toto chování upozorněn.

Vývojářská data jako riziko

Pověstný zakopaný pes vězí v tom, jak větší společnosti testují design svých aplikací. Najímají si analytické firmy, které pomocí svých technologií implementovaných do daných aplikací zaznamenávají každý dotyk uživatele, což má vývojářům následně ukázat například to, jestli ovládací prvky fungují tak, jak bylo zamýšleno. Problém je, že jsou zaznamenávány nejen dotyky, ale také přímo snímky obrazovky.

Současné odhalení se týká konkrétně analytické společnosti Glassbox, jejíž služeb využívá například Air Canada, Hotels.com, Expedia a další známé společnosti. Bezpečnostní výzkumník, s nímž web TechCrunch na problematice spolupracoval, říká, že analytické nástroje Glassbox umožňují ve screenshotech zakrýt citlivá pole, jako jsou například údaje o kreditní kartě. Problém však je, že ne každá společnost toho využívá a navíc toto automatické skrývání ne vždy funguje. V praxi se tak ukázalo, že například aplikace Air Canada někdy odesílala screenshoty včetně údajů o platební kartě, či přímo s heslem uživatele.

Levá část ukazuje softwarové zakrytí citlivých polí před tím, než je pořízen screenshot. Problém je, že v tomto případě byl nástroj implementován špatně a při pořízení snímku obrazovky nedošlo k zaznamenání černých obdélníků.

Najmout si analytickou firmu není úplně levné a činí tak především velké společnosti, u nichž není příliš pravděpodobné, že by data cíleně zneužily. Problém však je, že se takto získaná data odesílají do cloudu Glassbox (či jiných obdobných firem) a přístup k nim může mít poměrně široké spektrum zaměstnanců. Otázkou také je, nakolik jsou tato analytická data zabezpečena před únikem při případném napadení hackery. Již několikrát zmiňovaná Air Canada například před několika týdny řešila (nesouvisející) únik dat více než 20 000 uživatelů.

Zřejmě nejhorším aspektem celého odhalení je fakt, že žádná ze společností nijak neupozornila uživatele své aplikace, že tato data shromažďuje. V praxi tak v podstatě nemáte jako běžný uživatel šanci poznat, jestli konkrétní aplikace náhodou nepoužívá tyto problematické nástroje. Otázkou zůstává, jestli Apple nějak na kauzu zareaguje. Získávání dat o používání aplikací je totiž pro vývojáře velmi důležité a úplný zákaz by byl asi značně problematický. Alespoň upozornění by však vyžadováno být mohlo.

Tomáš Krompolc

Fanoušek Androidu, Googlu a moderních technologií. Rád si poslechne tvrdší hudbu a mezi jeho nejoblíbenější seriály patří ty z produkce Netflixu. V současné době je spokojeným majitelem telefonu OnePlus 6.

58 komentářů

  1. Zcela chybí informace, jaký je stav na Androidu.

    • adam (neregistrovaný)

      Zcela tu chybí informace, zda se ministerstvo zbaví takto děravých apple produktů.

      • Myslíš aplikací. Ano, mělo by se jich zbavit.

      • Ne aplikaci, produktu Apple, psal Adam. Jsi takhle tupý jen po ránu, v pátek anebo trvale?

      • adam (neregistrovaný)

        Uni: aplikace může dělat jen to, co apple dovolí. Takže tohle opravdu není chyba aplikace ale samotného Applu.
        A za 2. jak např. omluvíš to, že adobe premier dokáže odpálit reproduktory MacBooku? Opět je to problém aplikace? Odpovím si sám, není..
        Apple je opravdu záruka kvality xD

      • Johny (neregistrovaný)

        Tupý jsi ty jirko.

        Adame to není pravda, jedná se o analytické nástroje, který běžně využívají všichni. Tohle absolutně není o Apple. Dnes už i naprosto základní uživatelé využívají na svých webovkách věci jako hotjar, které mohou dělat to samé. Ve firmách se běžně používají time-management nástroje, které opět snímají obrazovku třeba VŠECH zaměstnanců a ten problém je úplně stejný. Je to tedy problém internetu? Windows? Čeho? Pokud to Apple začne blokovat, bude první ve světě a jedině dobře. Pokud to nebude dělat, asi těžko se mu dá vyčítat, že někdo zneužívá možnosti analytických nástrojů ke svému obohacení. Tak zakážem screenshoty úplně a bude, protože to je jediný způsob jak tomu zabránit.

      • Johny (neregistrovaný): Ámen.

      • uni: Že by klasika? Článek je o děrovaném iOS, ale tvůj první komentář je samozřejmě offtopic o Androidu. Běž se léčit.

      • adam (neregistrovaný)

        Johny: Pokud někdo snímá obraz co právě provádím a odesílá to, pak bych o tom měl být minimálně informován a případně měl možnost to zakázat.

        “Ve firmách se běžně používají time-management nástroje, které opět snímají obrazovku třeba VŠECH zaměstnanců”
        – Důležité je to slovo “zaměstanci” – pokud ty si nainstaluješ nějakou aplikaci, tak si stěží zaměstanec, ty jsi zákazník a tohle si opravdu nemůžou dovolit.

        Je to podobná situace jako zneužití analytického nástroje u Facebooku.
        Takže opět, když můžou ostatní, tak je to v pořádku!! Ne není a tvrdě bych to potrestal stejně jako u FB, ať si ostatní daj bacha.

      • Johny (neregistrovaný)

        adam: pak to ale furt není problém Apple, že tě daná aplikace neseznámí s tím, že sbírá cookies nebo používá analytické nástroje. Jediný výsledek, který to bude mít je, že teď budeš v každé aplikaci potvrzovat, že souhlasíš s jejich odesíláním, nebo nebudeš moct aplikaci plnohodnotně používat. To je tak maximum co se tím docílí. Opět to ale nemá nic společného s Apple. Je naprosto nesmyslný aby apple kontroloval, která data zařízení odesílá, pokud to nejsou data, která jsou uvnitř telefonu.

      • adam (neregistrovaný)

        Johny, potom nechápu, proč Apple zakazuje in-app nákupy ( a hry prostě do svého store nevpustí )
        Zde to jde a jinde ne? Je to problém Applu a hotovo, tohle nejde okecat.

      • Johny (neregistrovaný)

        Protože inapp nákupy jsou narozdíl od “obrázků” hnaný přes bezpečnostní certifikaci? Screenshot nebo obrázek vytvořený aplikací nic takového nemá.

      • Menty: Á, zájezd zmatenců z Bermud začíná:)

    • M (neregistrovaný)

      Nie nechyba. Skus si este raz precitat nadpis o com clanok je. “Apple umožňuje aplikacím zaznamenávat každý váš dotyk bez vašeho vědomí” Kde je tam spominany android a dovod preco v clanku o apple by sa malo pisat o androide. Sme zvyknuty, ze sa nedokazes vyjadrovat k temam a vacsinou si mimo, ale toto uz je moc aj na mna.

  2. Johny (neregistrovaný)

    Tak za prve tohle neni problem jen Apple a za druhe v americe je docela běžné, že společnosti mají všechy údaje o vaší kartě.

    • Filip (neregistrovaný)

      Tak vlastně žádný problém že se cizí společnost dostane k mé kartě? To chceš říct? Apple používám, ale tohle je mega průšvih.

      • Bezesporu to není nic nového, pravděpodobně letitá praxe a nic se doposud neřešilo….

      • Filip (neregistrovaný)

        Dlouhotrvající problém není menší problém.

      • Johny (neregistrovaný)

        Ne, to skutečně neříkám. Jen říkám, že v Americe je tohle vnímáno úplně jinak než tady. Já zrovna jsem člověk, který dbá hodně na bezpečnost, ale tohle je dost nafouknutá bublina, která se navíc absolutně netýká Apple, ten problém je daleko širší a jak píšu nahoře, skutečně nevím, jak bys tomu třeba chtěl zabránit. To není že ten system nabízí nějakou “nadstandardní” funkci. Tohle je prostě funkce jakéhokoliv systému, který umožňuje interakci. Proto místo hesel člověk píše hvězdičky. Tak chceš psát místo karet taky hvězdičky? Co se hesel týče, v tomto případě je to jen pokud to heslo dáš odkrýt, pak je možné ho zaznamenat screeshotem.

    • Filip (neregistrovaný)

      Nevim jak je to u jiných systémů, ale když se aplikace třetích stran přes veřejné API dostanou k nezamaskovanyn údajům o kreditní karte a heslam, pak je to vina OS že to dovolí, bez ohledu jak je to u jiných.

      • Špatně pochopeno. Toto je součástí aplikace, nikoli třetí strana.

      • Filip (neregistrovaný)

        Aha, BFU nerozumí co znamená aplikace třetích stran, nebo-li 3rd party application :D Nastuduj si a pak se vrať, nemám čas vysvětlovat základy

      • Nemusíš být na sebe tak přísný, stačí i jen lépe číst:
        “které pomocí svých technologií implementovaných do daných aplikací zaznamenávají každý dotyk uživatele”.

        Tedy pro tvé lepší pochopení, nejedná se o 3rd party aplikaci, žádnou takovou nemáš nainstalovanou.

        J, stojí mě to čas, nemáš zač.

      • Filip (neregistrovaný)

        uni: “které pomocí svých technologií implementovaných do daných aplikací zaznamenávají každý dotyk uživatele”.
        V tvem pripade nestaci jenom cist, ale predevsim porozumet psanemu textu.D ulezite jsou slova “implementovaných do daných aplikací”. Co si myslis ze je dana aplikace? Jas si myslis ze clovek vyuziva sluzeb Air Canada v ios? Bez aplikace?

        “V praxi se tak ukázalo, že například aplikace Air Canada někdy odesílala screenshoty včetně údajů o platební kartě, či přímo s heslem uživatele.”
        Aplikace Air Canada je proste 3rd party aplikace. Promin ale nemas cas ti vysvetlovat trivialni zaklady.

      • Filip (neregistrovaný)

        :D Aplikace Air Canada neni aplikace a neni nainstalovana:)

      • Johny (neregistrovaný)

        Filip: Pro lepší pochopení viz moje příspěvky nahoře. Klasickej článek smartmanie na nasbírání prokliků.

      • Filip (neregistrovaný)

        Johny, tvuj prispevek jsem cetl, klasickej koment fanouska, ze nic neni problem. Ano, analyticke nastroje jsou bezne, problem je, ze jim
        OS da pristup ke kredini karte a heslum. Opravdu ti prijde normalni ze se 3rd party aplikace pres analyticke tooly dostane k citlivym datum?
        Tak proc vlastne resit securitu, jsou to verejne data:)

      • Johny (neregistrovaný)

        Chápeš, že jim nedává přístup ke kartě ani heslům? Že ta aplikace vyfotí obrazovku? Přečti si to ještě jednou. Možná nerozumíš jak fungují počítače. A jestli mě to přijde normální absolutně není podstatné, protože tohle je prostě realita dnešního světa. Každý nástroj dnes dokáže vzít snímek ze stránky či aplikace když ji používáš a odeslat jí. Naprosto běžná věc, která se děje všude na všech systémech a platformách.

      • Filip (neregistrovaný)

        Aha, jenom vyfoti obrazovku. Cool. Jeste jednou, pro resit securitu, pristup k citlivym udajum, kdyz staci vyfotit. To ze tobe to prijde normalni, nebo ze to je realita dnesniho sveta, neznamena ze mi stav nevadi a ze clanek je clickbait.

      • Johny (neregistrovaný)

        Ale já se vůbec nebavim o tom, co tobě nebo mě vadí, chápeš to? :D Já ti řikam jak to je a že to není problémem Apple, ale obecným problémem.

      • Filip (neregistrovaný)

        Johny: Ale problem Applu to je, on umoznuje aplikacim delat screenshoty bez vedomi uzivatele. Opravdu neni normalni ze by aplikace mohla kdykoli odeslat screenshot.

      • Johny (neregistrovaný)

        Opravdu to normální je. Ach jo. Pokud se nevyznáš v dané problematice, může ti to připadat zvláštní, ale není to nic neobvyklého. Nemluvě o tom, že jde o naprosto základní funkci. Hele můžeš to obracet shora, sdola, ale realitu světa prostě nezměníš. Zajímá tě jestli to nedělá třeba Aukro? Nebo Vodafone když jim platíš?

      • Filip (neregistrovaný)

        “že jde o naprosto základní funkci.”
        To snad nemyslis vazne. Prave kvuli takovym rezignovanym jedincum jako ty dnes soukromi vubec neexistuje. A kdyz pristi rok te bude kazda aplikace odposlochavat, tak ti to prijde taky normalni, protoze to bude realita a zakladni funkce v kazde aplikaci.

      • Johny (neregistrovaný)

        Ach jo… debata s bfu, really… tak tady máš citaci z techradaru: “Glassbox is one of many session replay services on the market. Appsee actively markets its “user recording” technology that lets developers “see your app through your user’s eyes,” while UXCam says it lets developers “watch recordings of your users’ sessions, including all their gestures and triggered events.” Mně tohle nebaví. Buď máš dostatek inteligence na to, pochopit z kontextu co je myšleno normální a co je rozdíl v tom co já si myslim že je nebo není normální – zvlášť, když ti to tam napíšu. Nebo nemáš a pak nemá smysl se dál bavit. Mysli si o tom co chceš. Já na hloupé lidi prostě nemam čas. Pokusil jsem se ti vysvětlit jak to funguje, neprojevil si sebemenší snahu. Jen hledáš důvod k bashi. To není diskuze, to je prostě házení hrachu na zeď. Čau.

      • Filip (neregistrovaný)

        Si fakt stejne tupe BFU jako UNI. Nemusis mi davat zadne citace. To ze neco je dnes realitou, neznamena ze mi to prijde normalni. Umis to pochopit? Jsou lide co maji vlastni nazor na sledovani vseho, a ty zacnes urazet a projevovat se jako BFU, kdyz napises ze to je zakladni funkce.
        Ne v z zadnem kontextu mi tohle normalni neprijde. Si podej ruce s unim, alespon si byl schopen pochopit ze se to nemuze dit bez apkikace.

      • Filip (neregistrovaný): Boha, bylo ti tu opakovaně vysvětleno a furt meleš hovadiny…

      • Filip (neregistrovaný)

        uni – vysvetleno, myslis to legendarni vysvetlovani ze aplikace Air Canada neni aplikace? Muzes pokracovat.

      • Filip: schopnost ‘grabnout’ obrazovku ma kazdy graficky system (Windows pocinaje a iOS konce) … vzdy to tak bylo.

      • Filip (neregistrovaný)

        PetrCBR: Diky za linky, ale ze to jde, je snad jedine, na cem jsme se vsichni shodli:) Vzdyt jsem psal o API. Ale tak, jako mi kazda aplikace neodesila kontakty, jenom proto ze na to je API, tak bych cekal ze delani screenshotu na pozadi bude taky rizeno pravami. Je desive ze to nikomu nevadi,protoze je to realita->je to normalni->o tom se nediskutuje.

  3. To je hodně blbý. Jistě, je to i na jiných místech a OS, ale Apple by měl začít pracovat na nápravě toto co nejvíce minimalizovat.

    U důvěryhodných aplikací se to nejspíše nestane. Ne?

    • Tobe Air Canada, hotels.com nebo expedia neprijdou jako duveryhodne aplikace?

      • Johny (neregistrovaný)

        On ten článek je napsanej tak, jako že jde o nějaké šokující zjištění u jedné aplikace. Faktem je ale, že se zabývá jen službou Glassbox. Člověk, co se s analytikou současných aplikací a webů nesetkává může tak snadno nabýt dojmu, že jde o nějaký bezpečnostní breach u jedné firmy, ale tak to není. Je to obecný problém u všech. Jmenuj jakoukoliv větší společnost a můžeš si být tak na 80% jistý, že to je tam také. A ne v rámci nějaké aplikace, ale na webu, všude kde je třeba získávat data o uživatelích.

      • Vzdyt jo. Ono uz vetsina clanku o Applu tady neni ani o Applu, ale aspon to udela mistnim trollum radost kazdy den :D

      • lukass71: To je fakt. Poslední normální článek tu byl tak u recenze iPhone Xr, půl roku produkují jen “fakapy”.

      • uni: Samozřejmě, nikoho z nás nepřekvapilo, že pro tebe budou smysluplné jen články o Apple 😂😂😂😂

  4. Martin (neregistrovaný)

    Proč píšete, že Apple to dovoluje? V podmínkach mají, že tohle je zakázené, to že to natajno dělají nějací vývojáři je věc jiná. Ze smartmanie se stává pěknej odpad.
    Ale co by “novinář” neudělal pro proklik, že?

    • adam (neregistrovaný)

      Martin: pokud je to zakázané, tak je otázka proč tyto appky Apple nezaříznul.
      Promiň, ale kdo trochu ví jak funguje schvalování aplikací v appstore, tak nemůže vypustit větu “natajno dělají nějací vývojáři”.. Takhle to prostě nefunguje.

      • Johny (neregistrovaný)

        Protože opět, není možné jak zjistit, že to ta daná aplikace dělá. Apple nemůže vidět a nemůže mít vliv na to, jestli daná aplikace odesílá screenshot kreditní karty nebo jestli je to obrázek který si v daný aplikaci nakreslil. Datově jsou ty věci úplně stejný. Chápeme se? Jediný jak bys tomu mohl zamezit je skrytí čísla karet pod hvězdičky. Ale to se bavíme o nějakém internetovém a aplikačním standardu a ne o Apple.

      • Johny (neregistrovaný): Jak píšeš.
        Nepřestávám se divit, jak nízko ve znalostech technologií zdejší komunita je….

      • Filip (neregistrovaný)

        uni: Uz vis co je aplikace? Nejzaostalejsi BFU mluvi o znalostech:D:D:D

      • Johny (neregistrovaný)

        uni mi je někde, ale jako bfu se tu projevuješ hlavně ty.

      • Filip (neregistrovaný)

        rika nejvetsi lama johny, chapu uni mluvi stejnym jazykem ktery jsi schopen pochopit

  5. Xko (neregistrovaný)

    Apple dal včera vývojářům sledovacích aplikacích ultimátum
    Máte na to jeden den aby jste to opravili nebo je smažem

    To už nenapíšete co ?
    A chová se takhle Google?
    Amen

    • Tray1 (neregistrovaný)

      No tak to všechna čest. ☺️

    • Filip (neregistrovaný)

      Super, doufám, že se mi teď Johny a uni omluví, ještě včera jim přišlo sledování normální a téměř tabu, aby na to někdo upozorňoval.

  6. Do 24 hodin musí vývojáři aplikace upravit, jinak budou z AppStore smazány. Problem solved.

Napsat komentář

Tip: Nechcete pokaždé vyplňovat požadované údaje? Vytvořte si na SMARTmanii uživatelský účet ;-)

Vaše emailová adresa nebude zveřejněna.
Vyžadované informace jsou označeny *