Многие крупные приложения для iOS — например, туристического агентства Expedia, авиакомпаний Air Canada и Singapore Airlines, сервиса бронирования отелей Hotels.com, магазинов одежды Hollister — втайне записывают каждое действие пользователя, в том числе платежную информацию, но Apple ничего с этим поделать не может. К такому выводу пришли журналисты TechCrunch в ходе собственного расследования.

Издание выяснило, что крупные бренды сотрудничают с аналитическим агентством Glassbox, оказывающим услуги повторного воспроизведения сеансов (Session Replay). Скрипт, встроенный в приложение, записывает любую активность пользователя — что он вводил и куда нажимал. Зная, что делали клиенты, разработчики могут использовать эти данные для аналитики и улучшения сервиса.

Беспокойство вызывает то, что ни одно популярное тревел-приложение или онлайн-магазин не уведомляет пользователя о том, что за ним следят. Ни одна из программ, в которых применяется аналитический инструмент Glassbox, не получила согласия пользователя. Более того, некоторые компании записывают происходящее на экране — даже во время ввода паролей и номеров банковских карт — и передают эту информацию на удаленные серверы.

При этом безопасность передаваемых данных не обеспечивается должным образом. Например, узнали в TechCrunch, приложение Air Canada никак не шифрует отсылаемые файлы воспроизведения сеансов, что делает их уязвимыми к перехвату. Угроза вполне реальна: в августе 2018-го Air Canada призналась в утечке 20 тысяч учетных записей, содержавших номера паспортов и другую конфиденциальную информацию.



Летом 2018-го на слежке за действиями пользователя попалось приложение сети быстрого питания Burger King. Оказалось, что программа записывает на видео все происходящее на экране смартфона во время его использования, и даже в свернутом виде продолжает отсылать записи на сервер.