Actualización: Apple ha
señalado que los desarrolladores que utilizan este tipo de tecnologías sin advertir a los usuarios están infringiendo las normas de la compañía, conminándoles a revelar la captación de datos de uso realizada por herramientas como Glassbox en sus condiciones de uso.
Noticia original: Varias aplicaciones para iOS de gran popularidad como Hotels.com y Expedia monitorizan la actividad de los usuarios, grabando cada toque y desplazamiento sobre sus interfaces para recoger datos y sin solicitar permiso para ello. Así lo asegura
TechCrunch, que ha llevado a cabo una investigación que revela que el uso de una herramienta de control y optimización de aplicaciones popular entre compañías de viajes y bancos.
Según TechCrunch, estas firmas utilizan los servicios de
Glassbox, una compañía especializada en análisis de experiencia del usuario mediante la técnica de "session replay". Se trata de un método que básicamente almacena toda la información durante una sesión de uso para que después los desarrolladores puedan reproducirla como si fuera un vídeo, observando qué partes de la pantalla se tocan más frecuentemente o, lo que resulta más problemático, el texto introducido a través del teclado.
El uso del
session replay adquirió hace poco cierta relevancia cuando el sitio
App Analyst descubrió que la aplicación para el iPhone de Air Canada no estaba ofuscando debidamente la información enviada desde los móviles, por lo que los números de pasaporte y tarjeta de crédito de los viajeros quedaban expuestos. Apenas unas semanas antes, señala TechCrunch, Air Canada comunicó una brecha que expuso los datos de 20.000 perfiles de usuario.
El enmascaramiento de datos de la aplicación de Air Canada deja información al descubierto.
Según App Analyst, Air Singapore, Hollister y Abercrombie & Fitch también utilizan la tecnología de Glassbox, aunque su implementación puede diferir. Por ejemplo, Abercrombie & Fitch y Singapore Airlines envían sus replays a Glassbox, mientras que Expedia y Hotels.com mandan esa información a sus propios servidores para ser analizada en privado. El sitio detalla que los datos están "en mayor medida ofuscados", pero aun así fue posible observar direcciones de correo electrónico y códigos postales.
Ninguna de las aplicaciones mencionadas detallan de forma clara (o de ninguna otra) que graban la actividad del usuario en sus condiciones. Glassbox, por su parte, tampoco impone esta condición a sus clientes. Es un comportamiento que hasta ahora tenía lugar sin el conocimiento del usuario final. Cabe señalar que Glassbox no es la única empresa que ofrece este tipo de servicios.
Aunque no aparecen en el artículo de TechCrunch, el banco Santander y Citibank también utilizan los servicios de Glassbox. Asimismo, el texto no aclara si esta actividad también tiene lugar en las aplicaciones para Android.
Fuente: TechCrunch