Evita estas apps iOS, graban la pantalla de tu iPhone sin notificarlo

Se la conoce como Replay Sessions, y es una t¨¢ctica puesta en pr¨¢ctica por p¨¢ginas web que graban la pantalla de un usuario durante todo el tiempo que est¨¦ en la web, durante toda su sesi¨®n. De esta manera, ellos tienen datos de miles de usuarios que pueden usar para mejorar sus servicios, o al menos es la excusa barata que muchas dieron hace unos meses cuando se descubri¨® que varias compa?¨ªas hac¨ªan Replay Sessions sin alertar a los usuarios, en un claro atentado contra la privacidad de estos.

Ampliar

Las Replay Sessions de Glassbox

?Y si alguien trasladase esto al ¨¢mbito de los m¨®viles? Pues es precisamente lo que la web TechChrunch ha descubierto en varias aplicaciones para iOS. Pero no apps de esas desconocidas que hacen saltar las alarmas, sino apps para el iPhone muy descargadas sobre cadenas hoteleras, webs de viajes, aerol¨ªneas, operadoras m¨®viles, bancos y hasta financieras. Son apps que hacen estas Replay Sessions, que graban todo lo que hacemos en la pantalla del iPhone, y env¨ªan esos datos o a los servidores de una firma llamada Glassbox o a los suyos propios. Entre ellas est¨¢n:

Glassbox, una firma anal¨ªtica dedicada a la experiencia del usuario, es una de las compa?¨ªas que se dedican a implementar la tecnolog¨ªa de las Session Replay en una app, por lo que si somos una compa?¨ªa que queremos monitorizar lo que los usuarios hacen con nuestra aplicaci¨®n, llamamos a Glassbox para que instale esta forma de capturar la pantalla del m¨®vil cuando un usuario abre la app. Cada pulsaci¨®n, cada vez que deslizamos el dedo, y lo que es peor: cada entrada de texto queda almacenada y es enviada o a los servers de Glassbox como hacen Hollister o Abercrombie & Fitch, o a sus propios servidores como hacen Expedia y Hotels.com.

Grabar tu pantalla sin permiso

Dado que no se menciona en los t¨¦rminos de privacidad de estas apps en la App Store de Apple,? Glassbox no necesita que ni Apple ni el usuario de la app le concedan permisos especiales a su tecnolog¨ªa, lo que hace esta firma supera un l¨ªmite legal, ya que no se trata de hacer un pantallazo ocasional en cuanto a si buscamos un Hotel, un vuelo o informaci¨®n bancaria, sino que registran incluso los momentos en que debemos rellenar campos como contrase?as para autorizar la operaci¨®n, numeraciones bancarias, etc. Eso son datos privados sensibles, y por lo tanto es un robo de datos personales.

Ampliar

S¨®lo para poner un ejemplo, los expertos de App Analyst -firma consultada por TecChrunch- revelaron en su blog hace poco que la app de iPhone de Air Canada no s¨®lo registraba la pantalla del m¨®vil y lo que hac¨ªa el usuario, sino que adem¨¢s no codificaba bien las replay sessions al enviarlas a su servidor, lo que a?ad¨ªa un nivel de exposici¨®n a datos privados y personales como direcciones, cuentas corrientes, c¨®digos de tarjetas, etc. Y lo peor es que hace unas semanas, Air Canad¨¢ tuvo una brecha de seguridad que expuso los datos de 20.000 clientes, datos sin codificar que pod¨ªan ser vistos por cualquier empleado de Air Canada o que pudiera acceder a la base de datos de las capturas de pantalla de la app.

Encima con cachondeo

?C¨®mo funciona esta tecnolog¨ªa? Al parecer Glassbox implementa Charles Proxy, una herramienta intermediaria que sirve para interceptar los datos que recoge la app y enviarlos a servidores. Consultando los t¨¦rminos de las apps, ni Expedia ni Hotels.com dicen nada de que te van a grabar; Air Canad¨¢ no dice que esos datos se enviar¨¢n a su server, ni tampoco Singapore Airlines. Lo que ya ralla en la iron¨ªa es este tweet publicado en su cuenta de Twitter por la propia Glassbox en octubre pasado anunciando su tecnolog¨ªa:

¡°?Imaginas que tu web o app de m¨®vil pudiera ver exactamente lo que tus clientes ven en tiempo real, y por qu¨¦ lo hicieron?¡± Esto no es ya una pregunta hipot¨¦tica, sino una posibilidad real. Esto es Glassbox. Experim¨¦ntalo por ti mismo¡±.