Varias aplicaciones para iOS graban la actividad en pantalla sin informar al usuario

Actualización: Apple ha señalado que los desarrolladores que utilizan este tipo de tecnologías sin advertir a los usuarios están infringiendo las normas de la compañía, conminándoles a revelar la captación de datos de uso realizada por herramientas como Glassbox en sus condiciones de uso.

Noticia original: Varias aplicaciones para iOS de gran popularidad como Hotels.com y Expedia monitorizan la actividad de los usuarios, grabando cada toque y desplazamiento sobre sus interfaces para recoger datos y sin solicitar permiso para ello. Así lo asegura TechCrunch, que ha llevado a cabo una investigación que revela que el uso de una herramienta de control y optimización de aplicaciones popular entre compañías de viajes y bancos.

Según TechCrunch, estas firmas utilizan los servicios de Glassbox, una compañía especializada en análisis de experiencia del usuario mediante la técnica de "session replay". Se trata de un método que básicamente almacena toda la información durante una sesión de uso para que después los desarrolladores puedan reproducirla como si fuera un vídeo, observando qué partes de la pantalla se tocan más frecuentemente o, lo que resulta más problemático, el texto introducido a través del teclado.

El uso del session replay adquirió hace poco cierta relevancia cuando el sitio App Analyst descubrió que la aplicación para el iPhone de Air Canada no estaba ofuscando debidamente la información enviada desde los móviles, por lo que los números de pasaporte y tarjeta de crédito de los viajeros quedaban expuestos. Apenas unas semanas antes, señala TechCrunch, Air Canada comunicó una brecha que expuso los datos de 20.000 perfiles de usuario.

El enmascaramiento de datos de la aplicación de Air Canada deja información al descubierto.

Según App Analyst, Air Singapore, Hollister y Abercrombie & Fitch también utilizan la tecnología de Glassbox, aunque su implementación puede diferir. Por ejemplo, Abercrombie & Fitch y Singapore Airlines envían sus replays a Glassbox, mientras que Expedia y Hotels.com mandan esa información a sus propios servidores para ser analizada en privado. El sitio detalla que los datos están "en mayor medida ofuscados", pero aun así fue posible observar direcciones de correo electrónico y códigos postales.

Ninguna de las aplicaciones mencionadas detallan de forma clara (o de ninguna otra) que graban la actividad del usuario en sus condiciones. Glassbox, por su parte, tampoco impone esta condición a sus clientes. Es un comportamiento que hasta ahora tenía lugar sin el conocimiento del usuario final. Cabe señalar que Glassbox no es la única empresa que ofrece este tipo de servicios.

Aunque no aparecen en el artículo de TechCrunch, el banco Santander y Citibank también utilizan los servicios de Glassbox. Asimismo, el texto no aclara si esta actividad también tiene lugar en las aplicaciones para Android.

Fuente: TechCrunch
Joder, cómo está bajando la calidad. Aunque peque de hater o de nosequé mierdas: ésto con Jobs no pasaba.

Y tengo un iPhone...
Para juegos también se usa mucho. Sabes dónde se atascan los usuarios, qué niveles juegan más, qué movimientos hacen, etc.
Pues es raro, porque mira que iOS es una fortaleza inexpugnable eh.
czfuser escribió:Joder, cómo está bajando la calidad. Aunque peque de hater o de nosequé mierdas: ésto con Jobs no pasaba.

Y tengo un iPhone...

KindapearHD escribió:Pues es raro, porque mira que iOS es una fortaleza inexpugnable eh.

¿?¿?¿?¿?

Lo que se "graba" es lo que ocurre dentro de la propia app. Eso no tiene nada que ver con que iOS sea o no "una fortaleza inexpugnable".

El problema al final es el de siempre: muchas empresas recopilan demasiados datos sobre nosotros y luego hay filtraciones y robo de datos ocasionados por un mal manejo de nuestros datos privados por parte de estas empresas.

Me parece bien que salgan a la luz este tipo de cosas. Hay que establecer regulaciones fuertes, porque no puede ser que una y otra vez se repita la misma historia (de una u otra manera).

Una acción que quizás podrían realizar desde Apple es rechazar applicaciones que usen ciertas librerías de recopilación de datos. En el pasado han rechazado apps que usaban ciertas librerías peligrosas. Podrían hacer algo similar.
Lo que he dicho miles de veces, ni Apple ni Google os van a garantizar la seguridad jamas y la que os diga lo contrario os esta engañando. Y solo hay algo peor que la inseguridad implicita y es la falsa sensacion de seguridad ya que os hace bajar la seguridad a vosotros (que la confianza o error humano siempre ha sido y seguira siendo la mayor puerta de entrada).

La unica manera que tendria cualquier fabricante de garantizaros al 100% que ninguna aplicacion de terceros os va hacer nada dañino es prohibir la instalacion de aplicaciones de terceros (vamos lo que empezo haciendo apple al inicio). Yo sinceramente prefiero la libertad de instalar las apps que quieras y que nadie me diga cuales tengo o no que instalar.
Simplemente usad el sentido comun y como se funciono toda la vida, la confianza se gana y un desarrollador que use practicas dudosas deberia perder la confianza que se hubiese ganado previamente (ellos sabran si les compensa o no).
A ver si leemos la noticia, que es un clickbait de manual, antes de decir chorradas.

Se registra cómo interactúa el usuario con la app a fin de intentar mejorar la aplicación. Es decir, que tú estás usando la app "Hotels.com" y se queda grabado si has hecho click en tal parte y luego en la otra. No digo que no se debiera avisar al usuario de eso. Nos puede gustar más o menos o estar de acuerdo o no, faltaría más, pero la noticia está redactada para que leáis el titular y vayáis a cuñadear diciendo "Mira, mira, las app de iPhone te graban la pantalla".
No pasa nada, mañana Apple bloqueara otra vez aplicaciones de google y Facebook para que parezca que cuidan el tema de los fallos de privacidad..
KindapearHD escribió:Pues es raro, porque mira que iOS es una fortaleza inexpugnable eh.


No hay ninguna fortaleza inexpugnable, pero algunas son más difíciles que otras, y creo que con eso está todo dicho. Es como la cerradura de casa. Si quieren te entran, pero lo puedes poner fácil o un poco más complicado. Elige lo que más te convenga.
e9169 escribió:
KindapearHD escribió:Pues es raro, porque mira que iOS es una fortaleza inexpugnable eh.


No hay ninguna fortaleza inexpugnable, pero algunas son más difíciles que otras, y creo que con eso está todo dicho. Es como la cerradura de casa. Si quieren te entran, pero lo puedes poner fácil o un poco más complicado. Elige lo que más te convenga.


No, si ya. Si es por reirme un poco de aquellos fanboys que se creen que la app store es calité y solo hay cosas buenas aprobadas por el niñito jesús.

Y si, es una app externa....que te puedes descargar desde la app Store sin problemas, según compruebo en mi iPhone X.
KindapearHD escribió:
e9169 escribió:
KindapearHD escribió:Pues es raro, porque mira que iOS es una fortaleza inexpugnable eh.


No hay ninguna fortaleza inexpugnable, pero algunas son más difíciles que otras, y creo que con eso está todo dicho. Es como la cerradura de casa. Si quieren te entran, pero lo puedes poner fácil o un poco más complicado. Elige lo que más te convenga.


No, si ya. Si es por reirme un poco de aquellos fanboys que se creen que la app store es calité y solo hay cosas buenas aprobadas por el niñito jesús.

Y si, es una app externa....que te puedes descargar desde la app Store sin problemas, según compruebo en mi iPhone X.


A mí me parece gravísimo, ojo, pero obviamente no hay nada cien por cien seguro. Se ha visto con el hackeo de Tesla (múltiples hackeos, de hecho) y me imagino que pasará con cosas peores como infraestructuras críticas. Espero que Apple meta mano porque si algo es cierto es que no les suele temblar la mano con esas cosas.
yo solo uso el movil para llamar y poco mas no me bajo ninguna aplicacion
Cual es la noticia? yo trabajo en Digital y esto se lleva haciendo anyos ya...

Es más en mi empresa nueva, lo estoy apunto de implementar tanto para la web como para la app
Si supieseis lo que hacen algunas apps saldriais escandalizados.
Pero recordad... todo eso... todas esas barbaridades... las aceptasteis con los Terminos de Uso.
Scopata escribió:A ver si leemos la noticia, que es un clickbait de manual, antes de decir chorradas.

Se registra cómo interactúa el usuario con la app a fin de intentar mejorar la aplicación. Es decir, que tú estás usando la app "Hotels.com" y se queda grabado si has hecho click en tal parte y luego en la otra. No digo que no se debiera avisar al usuario de eso. Nos puede gustar más o menos o estar de acuerdo o no, faltaría más, pero la noticia está redactada para que leáis el titular y vayáis a cuñadear diciendo "Mira, mira, las app de iPhone te graban la pantalla".


Me he leído la noticia, y me llama la atención lo último que dices en tu post.

Sin necesidad de leerse ni siquiera la noticia entera, en la primera frase mira lo que se puede leer:

Alejo I escribió:Varias aplicaciones para iOS de gran popularidad como Hotels.com y Expedia monitorizan la actividad de los usuarios, grabando cada toque y desplazamiento sobre sus interfaces para recoger datos y sin solicitad permiso para ello.


El problema aquí lo tendrán los que se queden con los titulares de las noticias en general y en cualquier medio, por muy serio que sea, y no el redactor del titular.
Me encantan estas noticias, son una señal de que algun dia los terminos de uso abusibos estaran prohibidos
Lupi escribió:Si supieseis lo que hacen algunas apps saldriais escandalizados.
Pero recordad... todo eso... todas esas barbaridades... las aceptasteis con los Terminos de Uso.

El problema es que lo hacen sin haber pedido permiso ni avisado en los términos de uso.

gynion escribió:
Scopata escribió:A ver si leemos la noticia, que es un clickbait de manual, antes de decir chorradas.

Se registra cómo interactúa el usuario con la app a fin de intentar mejorar la aplicación. Es decir, que tú estás usando la app "Hotels.com" y se queda grabado si has hecho click en tal parte y luego en la otra. No digo que no se debiera avisar al usuario de eso. Nos puede gustar más o menos o estar de acuerdo o no, faltaría más, pero la noticia está redactada para que leáis el titular y vayáis a cuñadear diciendo "Mira, mira, las app de iPhone te graban la pantalla".


Me he leído la noticia, y me llama la atención lo último que dices en tu post.

Sin necesidad de leerse ni siquiera la noticia entera, en la primera frase mira lo que se puede leer:

Alejo I escribió:Varias aplicaciones para iOS de gran popularidad como Hotels.com y Expedia monitorizan la actividad de los usuarios, grabando cada toque y desplazamiento sobre sus interfaces para recoger datos y sin solicitad permiso para ello.


El problema aquí lo tendrán los que se queden con los titulares de las noticias en general y en cualquier medio, por muy serio que sea, y no el redactor del titular.


Un tema importante de esto, es que aunque solo registra los toques y desplazamientos en la pantalla, también registra los toques sobre el teclado y por lo tanto tiene un log de los datos escritos en el teclado, incluyendo mensajes privados, contraseñas, números de cuenta, numero de tarjeta, teléfonos, etc cualquier cosa que la aplicación requiera que se entren los datos, esos datos quedan registrados en esa grabación.

Y es responsabilidad de cada empresa dónde y cómo guarda los datos, algunas empresas ni se molestan en cifrar los datos o lo hacen con métodos poco seguros. Luego tienen una simple brecha de seguridad y todos los datos registrados de sus usuarios incluidas cuentas, contraseñas, números de cuenta etc se acaban haciendo filtrando....

Personalmente espero que Apple retire de la App Store todas las aplicaciones que utilizan esta librería, y hasta que no presenten la aplicación que respete la privacidad de los usuarios que no la vuelvan a aprobar. Y por lo que he leído hay una barbaridad de aplicaciones que utilizan Glassbox.
wingilot escribió:Un tema importante de esto, es que aunque solo registra los toques y desplazamientos en la pantalla, también registra los toques sobre el teclado y por lo tanto tiene un log de los datos escritos en el teclado, incluyendo mensajes privados, contraseñas, números de cuenta, numero de tarjeta, teléfonos, etc cualquier cosa que la aplicación requiera que se entren los datos, esos datos quedan registrados en esa grabación.

Y es responsabilidad de cada empresa dónde y cómo guarda los datos, algunas empresas ni se molestan en cifrar los datos o lo hacen con métodos poco seguros. Luego tienen una simple brecha de seguridad y todos los datos registrados de sus usuarios incluidas cuentas, contraseñas, números de cuenta etc se acaban haciendo filtrando....

Personalmente espero que Apple retire de la App Store todas las aplicaciones que utilizan esta librería, y hasta que no presenten la aplicación que respete la privacidad de los usuarios que no la vuelvan a aprobar. Y por lo que he leído hay una barbaridad de aplicaciones que utilizan Glassbox.


Es que a mí también me parece muy grave el tema, y el titular encaja con lo que realmente pasa.

Si lo que choca o debe tranquilizar es que no capta lo que visualmente pasa en la pantalla... habría que ver que tranquilidad da eso; que no vean fotos y videos, y poco más, pero otras cosas muy importantes suceden de forma oculta, como por ejemplo las contraseñas que mencionas. En este caso en concreto, es de hecho preferible que los datos que se espiaran fueran visuales, en vez de los que tecleamos, porque visualmente solo se ven puntitos, pero la contraseña la tenemos que teclear.
Estas noticias ya ni sorprenden ni asustan, debemos asumir que nuestra intimidad hace tiempo que la perdimos creo yo.
cual es la noticia? si estas en windows,iphone,android,facebook,twitter etc,etc tu privicidad se esfumo hace algunos años.lo raro seria comprarte un smartphone y que no te vigilaran.
Esta noticia es para callar bocas de los que despotrican de Android, hoy en dia todos los OS, Linux, Windows, Android,iOS, etc, tienen utilidades o App pensadas por gente muy cabrona para cogernos datos.
josesoria escribió:Esta noticia es para callar bocas de los que despotrican de Android, hoy en dia todos los OS, Linux, Windows, Android,iOS, etc, tienen utilidades o App pensadas por gente muy cabrona para cogernos datos.


La diferencia es que esto solo sirve dentro de la app que lo implementa, mientras que en Android lo puedes hacer a nivel de sistema, de forma que puedes trackear la actividad en cualquier app.

Así que no se que callar bocas, sino soys capaces de entender estas noticias....
Esperemos que pongan más énfasis en la seguridad del SO
Pues es un tema bastante grave.
Por una lado está la completa desinformación hacia el usuario que en ningún momento ha sido informado de que se le estaba monitorizando.
Por otro lado está el desconocimiento de cuanta información recopila (¿solo clicks de la aplicacion?) y para que o quien los recopila (¿seguro que es solo para mejorar la aplicación?).

Entiendo que tendría que haber puntos claves al instalar la aplicacion:
1) Solicitar permiso al usuario para realizar la monitorizacion (y que sea opcional particpar en el estudio o no)
2) Informar de que se va a hacer con los datos recopilados

A partir de aqui, que cada uno decida si quiere ser monitorizado o no.
No veo la novedad de la noticia cuando en casi cualquier app (Android / iOS) con Firebase (o similares) va registrando cada evento que realiza el usuario en la app. Esto está a la orden del día [toctoc]
Otra cosa es que sea ético o no.
Y cuando no se usa FireBase, Glassbox u otra, basta con un simple log que recoja todos los eventos de interfaz... no creo que haya ninguna app en plataforma movil que no lo haga. Se hace en apps, se hace en web, y hasta lo hacen las tragaperras.
@wingilot es decir, que te parece muy serio que un servicio (pongamos de ejempo a Hotels.com) que ya tiene tus: mensajes, datos de facturación, dirección, número de tarjeta, etc. registre cómo entras esos mensajes, datos de facturación, dirección o número de tarjeta [+risas]

josesoria escribió:Esta noticia es para callar bocas de los que despotrican de Android, hoy en dia todos los OS, Linux, Windows, Android,iOS, etc, tienen utilidades o App pensadas por gente muy cabrona para cogernos datos.


Si crees que en Android tienes un 1% de la seguridad y privacidad que hay en iOS estás apañao... Por supuesto que ningún sistema operativo es 100% seguro pero Android es un auténtico coladero.
cual es la sopresa???porque a mi no me ha sorprendido
Lo sorprendente de la noticia es que sea noticia, cuando de todos es sabidos las prácticas habituales de apps, y sistemas operativos.
[quote="Scopata"]@wingilot es decir, que te parece muy serio que un servicio (pongamos de ejempo a Hotels.com) que ya tiene tus: mensajes, datos de facturación, dirección, número de tarjeta, etc. registre cómo entras esos mensajes, datos de facturación, dirección o número de tarjeta [+risas]

Por explicarlo de una forma sencilla, cuando creas tu cuenta, al poner la contraseña se hace un hash de esta, y eso es lo que se acaba guardando. Cuando te logeas, se hace un hash de la contraseña que se compara con el hash guardado. A partir de la contraseña se puede obtener el hash, pero a partir del hash no se debe poder obtener la contraseña.

Monitorizando las pulsaciones de teclado se guardan las contraseñas sin hashear, en plano. Y como no son los datos directamente del usuario vete a saber dónde se guardan. Lo mismo con las cuentas bancarias/tarjetas de crédito, se guardan encriptadas pero las pulsaciones recogidas no se guardan encriptadas, y podrían incluso guardarse en servidores no seguros...

Si, me parece muy grave que registren las teclas del teclado pulsadas y guarden esos datos posiblemente de forma no segura y sin avisar previamente al usuario.

Esto es algo que se implementa por ejemplo en webs, pero se registran los elementos pulsados, hovers, etc no se registran en ningún caso las teclas pulsadas.
31 respuestas