ЗА ВАМИ СЛЕДЯТ. Как приложения в смартфонах «видят» наши действия. И чем мы рискуем в этом случае

ДУШАНБЕ, 25.02.2019. /НИАТ «Ховар»/.  Приложения крупных компаний — авиаперевозчиков, туроператоров и других — скрыто записывали данные с экранов владельцев смартфонов. Об этом сообщили эксперты портала TechCrunch, выяснившие этот факт, проведя собственное расследование. Компании использовали аналитический сервис Glassbox, который позволяет «видеть то, что ваши клиенты делают в приложении», как обещают создатели технологии. Apple поставила ультиматум разработчикам: предупреждать пользователей об этом способе сбора данных или удалить продукт из App Store.

ТАСС вместе с экспертами разобрался в том, насколько повсеместно разработчики используют Glassbox и какие риски это несет для потребителей.

Как работает аналитический сервис Glassbox

Glassbox — это продукт израильской команды, он появился в 2010 году. У стартапа есть офисы в Тель-Авиве, Лондоне и Нью-Йорке. На сайте компании говорится, что продукт помогает владельцам приложений «видеть», как клиенты работают внутри платформы, и понимать, соответствуют ли их действия изначальной задумке. Разработчики, исходя из этой информации, могут улучшать свои сервисы под потребности пользователей.

Технически Glassbox попросту записывает видео работы клиента в приложении — фиксируется любое нажатие кнопки и свайп по экрану. Такие «повторы» клиентских сессий отправляются владельцам платформы.

«Возможно, сервис делает скриншоты, которые потом склеивает, но в итоге разработчик получает видео, — уточняет Аким Касабулатов, разработчик мобильных приложений для App Store. — И пользователи в этом случае не анонимны. Получатель знает, кто «автор» этой сессии. Допустим, вы покупали билеты через приложение авиакомпании — создатель платформы мог видеть, как вы «двигались» по его сервису: выбирали даты, рейсы, места и переходили к оплате. Что важно — никто не может и не должен видеть данные банковской карты и паспортные данные, которые вы вводите в специальных полях. Эти поля зашифрованы — визуально «замазываются» черными полосами. Но в случае ошибки разработчики могли видеть и такую конфиденциальную информацию, и более того — эти данные могли быть скомпрометированы в результате утечки».

По его данным, сервис Glassbox используется неповсеместно. «Речь идет о нескольких десятках приложений, — продолжает он. — А в App Store их больше миллиона. Но Glassbox — это не все, есть и другие аналитические системы. Сервис Appsee, например, работает примерно таким же образом. Разработчики платят деньги за использование этих аналитических продуктов. Обслуживание может стоить до нескольких тысяч долларов в месяц. Каждый разработчик хочет анализировать поведение своих клиентов, но чаще мы используем бесплатные «аналитики» — такие сервисы не «снимают» скриншоты, а предоставляют отчеты в текстовом виде, в графиках, диаграммах, и пользователи при таком раскладе — анонимны».

Насколько опасны «следящие» сервисы

В списке партнеров на сайте Glassbox — чуть более десятка компаний. Российских брендов среди них нет. Эксперты считают, что у стартапа больше клиентов, но далеко не все согласны рассказывать, что «следят» за потребителями.

«Можно было предположить, что пользователи отреагируют негативно и на сам факт, и на то, что их не предупреждали о таком сборе данных, — считает Сергей Вильянов, индустриальный аналитик. — В действительности история «раздута». Сервис не может записывать действия за пределами приложения, где он внедрен. Если вы покупаете билеты, а параллельно пользуетесь другими приложениями или переписываетесь в мессенджерах — сервис не «видит» ваших действий на посторонних платформах. Кстати, на платформе iOS вообще нет открытой файловой системы — разработчик не имеет доступ к другим приложениям. Платежные и паспортные данные достаточно хорошо «шифруются». Да, есть вероятность ошибки и вероятность утечки персональных данных, но так может случиться независимо от того, использует ли разработчик «следящие» сервисы, прямой связи — нет, устанавливая приложение, вы даете владельцу платформы доступ к ряду сведений о вас. А также утечка может случиться не по вине разработчика операционной системы и приложения, а уже на стадии хранения».

Как понять, что приложение «следит» за вами

«В этом и проблема — обычный пользователь не может узнать, что приложения используют следящий трекер, если они не спрашивают при установке разрешения на это, — продолжает Аким Касабулатов. — Сейчас разве что можно зайти в App Store и посмотреть, каких приложений из тех, которыми вы пользовались, там больше нет. Или же можно предположить, что часть платформ, выпустивших обновления в течение суток после ультиматума Apple, — это те сервисы, которые также записывали наши данные».

Иногда понять, что платформа внедрила какой-либо аналитический сервис, можно, пробежавшись по пользовательскому соглашению, добавляет Касабулатов.

Посмотреть, какие права вы раздали разработчикам, можно внутри приложений или в App Store и Google Play.

«Еще, когда вы настраиваете новый смартфон, программа спрашивает: «Готовы ли вы делиться данными с разработчиками приложений?», «Готовы ли вы делиться персональными данными, например, с Apple?». Всегда смотрите, что вы разрешаете гаджетам», — говорит Сергей Вильянов.

«Следящие аналитические сервисы — это не главная опасность, — продолжает Аким Касабулатов. — Пользователи часто разрешают приложениям доступ к таким данным, которые должны быть надежно спрятаны, причем дают эти права осознанно. Пример — это приложение GetContact, которое было популярно в прошлом году. Пользователь мог посмотреть, как его номер телефона записан у разных людей. Люди развлекались и тем самым позволяли приложению «смотреть» свою телефонную книгу».

То, что произошло с приложениями, использующими Glassbox, и реакция Apple — это важный прецедент, считают эксперты.

«Аналитические сервисы будут развиваться, но с учетом потребностей клиентов в безопасности личных данных. А компании станут больше стремиться обеспечить максимальную приватность пользователей, — считает Аким Касабулатов. — Защита персональных данных — тренд на ближайшие годы. Потребители будут лояльны к разработчикам, сумевшим заработать хорошую репутацию в этой области».