Россиянин уличил приложение Burger King в слежке

Приложение сети быстрого питания Burger King записывает на видео все, происходящее на экране смартфона во время его использования, и даже в свернутом виде продолжает отсылать записи на сервер. Об этом написал изучивший код программы пользователь Pikabu fennikami.

Приложение сети быстрого питания Burger King записывает на видео все, происходящее на экране смартфона во время его использования, и даже в свернутом виде продолжает отсылать записи на сервер. Об этом написал изучивший код программы пользователь Pikabu fennikami.

Burger King использует приложение в информационных целях, для проведения промо-акций и приема заказов, есть версии для iOS (fennikami пишет именно о ней) и для Android. Как выяснилось, применяется программа не только для этого — iPhone автора поста с момента запуска приложения транслировал на удаленный сервер содержимое экрана.

Причем запись ведется даже тогда, когда пользователь вводит данные банковской карты. Отправляются ролики на сайт appsee.com — он принадлежит аналитической компании Appsee, которая помогает разработчикам приложений оптимизировать их, анализируя поведение пользователей при помощи такого, довольно неоднозначного метода.

В пользовательском соглашении Burger King (редакция от февраля 2018-го года, которая была опубликована на сайте на момент написания этой заметки) утверждается (пункт 3.3), что "передача данных банковской карты производится с соблюдением всех необходимых мер безопасности", "только на Авторизационный сервер по защищенному каналу" и "сохраняются только на специализированном сервере платежной системы", при этом самой компании Burger King данные банковской карты не сообщаются.

Так выглядит записываемое программой видео. Скриншот с сайта Pikabu

О записи содержимого экрана в пользовательском соглашении прямо ничего не говорится, с натяжкой такой метод исследования поведения пользователей можно подвести под пункт 5.2 ("компания имеет право контролировать и корректировать содержимое приложения"), а передачу данных на сервер Appsee — под пункт 5.6 ("компания вправе передать права и обязанности по настоящему Соглашению третьим лицам в целях исполнения настоящего соглашения, без дополнительного согласия пользователя").

В пункте 7.4 также сказано, что "компания не несет ответственности за возможный ущерб или убытки, вызванные использованием приложения". То есть если записанное для Appsee видео с данными банковской карты попадет к киберпреступникам, и они обчистят банковский счет пользователя, привлечь за это к ответственности Burger King будет практически невозможно.

Есть в соглашении и раздел о конфиденциальности пользовательских данных, где устанавливающий приложение (и, как правило, просто ставящий галочку на стартовом экране, не читая многостраничный текст) пользователь дает согласие на их хранение и обработку, в том числе "третьими лицами для исполнения обязанностей Компании". В список передаваемых данных включены "иные технические данные, необходимые для улучшения функционала и работоспособности приложения" — вероятно, под это определение можно подвести фиксацию действий пользователя в программе. Правда, квалифицировать так данные банковской карты вряд ли получится.

fennikami отмечает, что видео по умолчанию передается в сильно сжатом виде — так пользователь вряд ли заметит резкий рост расхода трафика мобильного интернета, а цифры номера банковской карты и кода безопасности вряд ли можно будет рассмотреть из-за пикселизации. Однако для записи картинки в высоком качестве управляющему записью серверу достаточно прислать соответствующую команду.

Неделю назад вокруг обнаружения аналогичной активности, связанной с Appsee, в других мобильных приложениях разгорелся скандал в США. Обнаружившие, что приложения скрытно записывают содержимое экрана, исследователи отмечали, что частично вина лежит и на производителях операционных систем смартфонов — им следовало бы всегда уведомлять пользователя, когда устройство фиксирует изображение, выводящееся на дисплей.