Alcune app per iPhone, tengono conto di qualsiasi interazione o movimento dell’utente all’interno dell’app, senza fornire nessuna specifica indicazione all’utente di quanto avviene a loro insaputa.
Lo riferisce il sito TechCrunch che ha individuato in app di aziende quali Abercrombie & Fitch, Hotels.com, Air Canada, Hollister, Expedia e Singapore Airlines, l’uso di Glassbox, un sistema di analytics che consente agli sviluppatori di riprodurre tutto ciò che l’utente ha fatto con l’app, un meccanismo denominato “replay di sessione”.
Questo meccanismo di replay delle sessioni consente agli sviluppatori di studiare il comportamento degli utilizzatori, riproducendo tutto ciò che un utente fa durante l’uso di un’app per capire in che modo interagisce e se qualcosa non funziona o è poco comprensibile. Qualsiasi tocco (tap), pressione di pulsanti virtuali e anche quanto digitato sulla tastiera, può esseare registrato e inviato agli sviluppatori.
Glassbox, in un recente tweet, scrive: “Immaginate se il vostro sito web o la vostra app mobile potesse vedere in tempo reale quello che l’utente fa esattamente e perché lo fa”. App Analyst, esperti nel settore mobile che hanno recentemente analizzato varie app sul blog omonimo, hanno recentemente individuato che l’app di Air Canada per iPhone non maschera correttamente il replay della sessione prima della spedizione dei dati, mettendo a rischio dati quali il numero di passaporto e dati della carta di credito. Una settimana prima la compagnia aerea Air Canda ha rivelato un “data breach” (un incidente di sicurezza in cui dati sensibili, protetti o riservati vengono consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato), mettendo a rischio 20.000 diversi profili.
“Tutto ciò offre ai dipendenti di Air Canada – e chiunque altro in grado di accedere al database delle schermate registrate – di visualizzare dati non cifrati su carte di credito e informazioni sul passaporto”, afferma App Analyst.
TechCrunch ha chiesto ad App Analys di dare un’occhiata a un campione di app di aziende che Glassbox indica sul suo sito come clienti. Usando Charles Proxy, uno strumento di man-in-the-middle (che è possibile sfruttare per intercettare la comunicazione tra due parti che credono di comunicare direttamente tra di loro), è stato possibile esaminare quali dati sono scambiati tra dispositivo e servizio. Non tutte le app consentono a terze di ottenere dati, mascherando correttamente la comunicazione. Nessuna delle app prese in esame ha ad ogni modo indicato all’utente la registrazione in corso dell’attività in corso sullo schermo dell’utente, consentendo l’invio di questi dati direttamente alle aziende o al cloud di Glassbox.
Questo comportamento potrebbe portare a problemi se i clienti di Glassbox non mascherano correttamente i dati, ha spiegato il consulente di App Analyst via mail. “Poiché i dati vengono spesso rimandati ai server di Glassbox, non sarei sorpreso se questi fossero già in possesso di istanze catturate con dati sensibili quali informazioni bancarie e password”. App Analys riferisce che, sebbene, Hollister e Abercrombie & Fitch mandano le sessioni delle attività a Glassbox, altre app quali quelle di Expedia e Hotels.com catturano i dati e inviano le sessioni su server legati ai loro domini. I dati in questione sono “per lo più offuscati” ma in alcuni casi è possibile individuare indirizzi di posta elettronica e codici di avviamento postale. Secondo il ricercatore, Singapore Airlines raccoglie dati concernenti la sessione ma non li invia sul cloud di Glassbox.
Le app inviate dagli sviluppatori per la pubblicazione sull’App Store devono rispettare specifiche regole sulla privacy ma nessuna delle app esaminate da TechCrunch indica chiaramente le policy in materia di privacy e riferisce la registrazione dell’attività sullo schermo. Glassbox spiega che gli sviluppatori non sono obbligati a menzionare tali attività nelle indicazioni relative alla privacy policy. “Glassbox offre capacità unica di ricostruire la vista dell’applicazione mobile in forma visuale, una visualizzazione supplementare dell’analytics. L’SDK di Glassbox può interagire solo con la nostra app nativa per i clienti e tecnicamente non può infrangere i confini dell’app”, ha riferito un portavoce dell’azienda, affermando di non avere accesso a elementi come ad esempio i dati digitati sulla tastiera.
Glassbox è solo uno di tanti servizi per il replay delle sessioni. Appsee è, ad esempio, un diverso servizio, pubblicizzato come meccanismo per il “recording dell’utente” che consente agli sviluppatori di “vedere l’app con gli occhi dell’utente”; UXCam è un altro servizio ancora, proposto agli sviluppatori per “guardare registrazioni delle sessioni utente, incluse tutte le gesture e gli eventi attivati”.
Non sono solo le app a vedere tutto quello che l’utente fa ma anche sul web molti siti tra i più grandi e importanti, utilizzano software di terze parti per seguire tutti i movimenti degli utenti, compreso ciò che viene digitato, dove si fa click o quando si scrolla. Questo tipo di servizi sono in grado di raccogliere informazioni non sono necessariamente utili agli sviluppatori e che in teoria potrebbero essere sfruttati da terze parti per raccogliere dati sensibili quale condizioni di salute, carte di credito e altri dati personali. L’Università di Princeton tempo addietro si è occupata del fenomeno, sottolineano che questi servizi attivano meccanismi che consentono ai software di comportarsi come se fossero “sempre dietro di noi”, con tutto ciò che ne consegue.
