Приложение сети быстрого питания Burger King записывает на видео все, происходящее на экране смартфона во время его использования, и даже в свернутом виде продолжает отсылать записи на сервер. Об этом написал изучивший код программы пользователь Pikabu fennikami.

Burger King использует приложение в информационных целях, для проведения промо-акций и приема заказов, есть версии для iOS (fennikami пишет именно о ней) и для Android. Как выяснилось, применяется программа не только для этого — iPhone автора поста с момента запуска приложения транслировал на удаленный сервер содержимое экрана.

Причем запись ведется даже тогда, когда пользователь вводит данные банковской карты. Отправляются ролики на сайт appsee.com — он принадлежит аналитической компании Appsee, которая помогает разработчикам приложений оптимизировать их, анализируя поведение пользователей при помощи такого, довольно неоднозначного метода.

В пользовательском соглашении Burger King (редакция от февраля 2018-го года, которая была опубликована на сайте на момент написания этой заметки) утверждается (пункт 3.3), что "передача данных банковской карты производится с соблюдением всех необходимых мер безопасности", "только на Авторизационный сервер по защищенному каналу" и "сохраняются только на специализированном сервере платежной системы", при этом самой компании Burger King данные банковской карты не сообщаются.

Так выглядит записываемое программой видео. Скриншот с сайта Pikabu

О записи содержимого экрана в пользовательском соглашении прямо ничего не говорится, с натяжкой такой метод исследования поведения пользователей можно подвести под пункт 5.2 ("компания имеет право контролировать и корректировать содержимое приложения"), а передачу данных на сервер Appsee — под пункт 5.6 ("компания вправе передать права и обязанности по настоящему Соглашению третьим лицам в целях исполнения настоящего соглашения, без дополнительного согласия пользователя").

В пункте 7.4 также сказано, что "компания не несет ответственности за возможный ущерб или убытки, вызванные использованием приложения". То есть если записанное для Appsee видео с данными банковской карты попадет к киберпреступникам, и они обчистят банковский счет пользователя, привлечь за это к ответственности Burger King будет практически невозможно.

Есть в соглашении и раздел о конфиденциальности пользовательских данных, где устанавливающий приложение (и, как правило, просто ставящий галочку на стартовом экране, не читая многостраничный текст) пользователь дает согласие на их хранение и обработку, в том числе "третьими лицами для исполнения обязанностей Компании". В список передаваемых данных включены "иные технические данные, необходимые для улучшения функционала и работоспособности приложения" — вероятно, под это определение можно подвести фиксацию действий пользователя в программе. Правда, квалифицировать так данные банковской карты вряд ли получится.

fennikami отмечает, что видео по умолчанию передается в сильно сжатом виде — так пользователь вряд ли заметит резкий рост расхода трафика мобильного интернета, а цифры номера банковской карты и кода безопасности вряд ли можно будет рассмотреть из-за пикселизации. Однако для записи картинки в высоком качестве управляющему записью серверу достаточно прислать соответствующую команду.

Неделю назад вокруг обнаружения аналогичной активности, связанной с Appsee, в других мобильных приложениях разгорелся скандал в США. Обнаружившие, что приложения скрытно записывают содержимое экрана, исследователи отмечали, что частично вина лежит и на производителях операционных систем смартфонов — им следовало бы всегда уведомлять пользователя, когда устройство фиксирует изображение, выводящееся на дисплей.