Apps de grandes empresas coletam gravações das telas de usuários de iPhones

Os smartphones são uma parte essencial do nosso cotidiano e, com a popularização das redes sociais, várias informações pessoais foram sendo armazenadas nesses dispositivos, fazendo com que a proteção desses dados se tornasse um assunto bastante importante.

Entretanto, foi descoberto recentemente que muitas das grandes empresas, como a Air Canada, Hollister e Expedia, estavam gravando cada toque e movimento que os usuários fazem em seus aplicativos para iPhone. Na maioria dos casos, nem era possível perceber isso e os programas sequer precisavam pedir permissão para tal. Portanto, pode-se chegar à conclusão de que a maioria dos aplicativos coletam os seus dados e, alguns, até monetizam eles sem o seu consentimento.

O TechCrunch encontrou vários aplicativos populares para iPhone, como os de hoteleiros, sites de viagens, companhias aéreas, operadoras de telefonia celular, bancos e de financiamentos, que não perguntam e nem deixam claro que sabem exatamente como os usuários estão usando seus aplicativos. Pior: apesar de esses aplicativos serem destinados a esconder certos campos, alguns ainda expõem os dados confidenciais.

Em adição, aplicativos como Abercrombie & Fitch, Hoteis.com e Singapore Airlines usam o Glassbox, uma empresa de análise de experiência do cliente que também faz parte das poucas empresas que permitem os desenvolvedores incorporarem a tecnologia “replay de sessão” em seus aplicativos.

Esses replays permitem que os desenvolvedores de aplicativos gravem a tela dos smartphones e as reproduzam para ver como os usuários interagiram com o aplicativo, afim de descobrir se algo não funcionou ou se houve um erro. Cada toque, botão teclado ou apertado são gravados e enviados para os desenvolvedores do aplicativo, assim como o Glassbox disse em um tweet recente: "Imagine se o seu site ou aplicativo móvel pudesse ver exatamente o que seus clientes fazem, em tempo real, e por que eles fazem isso (...)."

O site The App Analyst, especialista em dispositivos móveis, descobriu recentemente que o aplicativo da Air Canada não estava mascarando corretamente os replays da sessão, expondo números de passaporte e dados de cartão de crédito.

"Isso dá aos funcionários da Air Canada, ou qualquer outra pessoa capaz de acessar o banco de dados de gravações de tela, o poder de ver informações não criptografadas de cartões de crédito e de senhas", disse o The App Analyst ao TechCrunch.

O TechCrunch solicitou que The App Analyst analisasse uma amostra de aplicativos que o Glassbox listou em seu site como clientes. Usando o Charles Proxy, uma ferramenta man-in-the-middle capaz de interceptar os dados enviados pelo aplicativo, o site pôde examinar quais informações estavam vazando dos dispositivos.

Como resultado, descobriram que nem todo aplicativo estava protegendo os dados importantes e, ainda, que nenhum dos aplicativos examinados havia informado que estava gravando a tela do usuário. Pior ainda: nenhum notificou que que estava enviando as imagens de volta para cada empresa ou diretamente para a nuvem do Glassbox.

O site de análise ainda afirmou que isso pode ser um problema se qualquer um dos clientes do Glassbox não estiver criptografando os dados corretamente. "Como esses dados costumam ser enviados de volta para os servidores do Glassbox, eu não ficaria chocado se informações confidenciais e senhas bancárias já tiverem sido capturadas“.

Continuando, ele disse que embora Hollister e Abercrombie & Fitch tenham enviado seus replays de sessão para o Glassbox, outros como Expedia e Hoteis.com optaram por gravar e enviar esses dados para servidores de domínio próprios. O The App Analyst ainda afirmou que os dados eram "ofuscados na maioria dos casos", mas que puderam ver alguns endereços de e-mail e códigos postais mesmo assim.

Os aplicativos que são enviados à App Store precisam ter uma política de privacidade, mas nenhum dos aplicativos analisados havia deixado claro que registrariam a tela do usuário. O Glassbox não exige permissão especial da Apple e nem do usuário. Portanto, não há como o usuário saber. Ou seja, sem analisar as linhas de códigos de cada aplicativo, é impossível saber se algum deles está gravando as telas do iPhone ou não.

O TechCrunch aprofundou a pesquisa e viu que a política de privacidade da Expedia não mencionava a gravação da tela, assim como o Hoteis.com. Em adição, no caso das companhias aéreas Air Canada e Singapore Airlines, não foi possível identificar uma única linha nos termos e condições do iOS, ou na política de privacidade, que sugerisse que o aplicativo fosse enviar os dados da tela.

Logo em seguida, o site pediu a todas as empresas que indicassem onde exatamente, em suas políticas de privacidade, estava dizendo que os aplicativos capturam as ações que um usuário faz em seu telefone.

Apenas a Abercombie respondeu confirmando que o Glassbox “ajuda no suporte a uma experiência de compra contínua, permitindo identificar e tratar quaisquer problemas que os clientes possam encontrar em sua experiência digital”. O porta-voz da companhia, no entanto, não fez nenhuma menção à política de privacidade, assim como a Hollister.

"Acredito que os usuários devam ter um papel ativo na maneira como compartilham seus dados, e o primeiro passo para isso é fazer com que as empresas sejam francas em compartilhar como coletam os dados de seus usuários e com quem eles compartilham", disse o The App Analyst.

Quando questionada, o Glassbox informou que não força os seus clientes a mencionarem o uso de sua solução nas políticas de privacidade.

"O Glassbox tem uma capacidade única de reconstruir a visualização de aplicativos móveis em um formato visual, que é outra visão de análise. O Glassbox SDK só pode interagir com o aplicativo nativo de nossos clientes e tecnicamente não pode quebrar o limite do aplicativo", disse o porta-voz da empresa. Ele também afirmou que, quando o teclado do sistema cobre parte do aplicativo nativo, “o Glassbox não tem acesso a ele”.

O mercado de soluções que entregam o replay de ações dos usuários de smartphones não é uma área que desaparecerá em breve, até porque as empresas contam com esse tipo de serviço para entender o motivo da quebra de alguns produtos, bem como pode servir de base para saber o que pode custar caro em situações de alta receita. Entretanto, o fato de os desenvolvedores de aplicativos não divulgarem isso apenas mostra o quão assustador eles sabem que essa informação pode ser.