Do App Store'u trafiły aplikacje rejestrujące każdy ruch użytkownika. Apple stawia ultimatum
Apple robi wszystko, by mit o bezpieczeństwie jego produktów i usług upadł. Dopuszcza nawet do App Store’u aplikacje, które rejestrują każdy ruch użytkownika.
Aktualizacja: Apple postawił twórcom aplikacji ultimatum. Publikacja została zaktualizowana o nowe informacje.
Firma z Cupertino nie ma ostatnio dobrej passy. Co prawda utarło się przekonanie, że jako jedyna z ogromnych korporacji przynajmniej chce sprawiać pozory dbania o bezpieczeństwo danych swoich użytkowników - tak jak drzewiej BlackBerry - ale ostatnie doniesienia ten wizerunek raz za razem szarpią.
Kilka aplikacji w App Store rejestruje każdy ruch użytkownika.
Nie było tajemnicą, że niektóre firmy uznały, że dobrym pomysłem będzie rejestrowanie całej aktywności użytkowników. Co prawda nie zapisują tego w formie pliku wideo - byłoby to zresztą niepraktyczne - ale efekt jest podobny. Na serwery dostawcy usług (lub pośrednika) trafia zapis wszystkich czynności, jakie użytkownik dokonał w aplikacji.
Twórca programu, który zdecydował się skorzystać z takiego narzędzia analitycznego, jest w stanie odtworzyć każde tapnięcie i muśnięcie ekranu palcem oraz każdy wprowadzony znak alfanumeryczny z wykorzystaniem klawiatury ekranowej. Do tego dochodzą zrzuty ekranu. Użytkownicy nie mają zaś opcji wyrażenia zgody na takie działanie, a ich twórcy o tym nie informują.
To spore naruszenie prywatności, które do tej pory przeszło niezauważone.
To niepokojące, że tego typu programy trafiły do App Store’u, czyli sklepu, który słynie z tego, że żaden program nie może zostać w nim umieszczony bez zgody i wiedzy cenzorów. Apple więc albo nie zwrócił na to uwagi, albo się na to po cichu godził. Wśród aplikacji, które się takiego procederu dopuszczają, znalazły się m.in.:
- Abercrombie & Fitch;
- Hollister;
- Expedia;
- Hotels.com;
- Singapore Airlines;
- Air Canada.
Nie jest to jednak pełna lista, a do tego dochodziły aplikacje operatorów telefonii komórkowej oraz banków. Informacje na temat działań mogły być przekazywane od razu twórcy aplikacji lub do chmury usługodawcy, który tę metodę opracował - jednym z nich jest firma Glassbox. W teorii prywatne dane powinny być zakryte, a w praktyce?
Najwięcej za uszami zdaje się tutaj być Air Canada.
Twórcy aplikacji nie zabezpieczyli dobrze prywatnych danych podczas wysyłania informacji o sesji do analizy, więc numery paszportów i dane kart kredytowych mogły trafić na zewnętrzny serwer. Dodajmy do tego, że na serwery tej konkretnej firmy ktoś się ostatnio włamał, pozyskując dane 20 tys. użytkowników.
Co teraz? Otwartym pozostaje pytanie, czy Apple nadal będzie pozwalał programom na rejestrowanie informacji o użytkownikach, czy też zakaże stosowania podobnych narzędzi - albo przynajmniej wymusi na dostawcach usług, by użytkowników o tym w widoczny sposób informowały.
Na tym wpadki Apple’a się nie kończą.
Co prawda w historii Apple zaliczył mnóstwo wtop, to w minionym roku ich częstotliwość się nasiliła: począwszy od Homepodów psujących lakierowane meble, przez Siri dającą obcym dostęp do wiadomości i umożliwianie dostępu do zablokowanego iPhone’a po podpięciu dongle’a, na cenzurowaniu Tajwaniu kończąc. Ten rok wcale lepiej się nie zaczyna.
Ostatnia poważna wpadka związana z bezpieczeństwem miała miejsce pod koniec stycznia. Dziura w funkcji rozmów grupowych w aplikacji FaceTime pozwalała na podsłuchiwanie odbiorcy tegoż połączenia. Co prawda producent - jak zwykle - zareagował bardzo szybko, a łatka powinna pojawić się lada moment, ale coś takiego nigdy nie powinno się wydarzyć.
Już przypadku iOS 11, czyli oprogramowaniu do iPhone’ów i iPadów wydanym jesienią 2017 roku, głupich błędów było mnóstwo. Sprawa była poważna do tego stopnia, że zwolniło tempo adopcji nowych wersji systemu u użytkowników, a iOS 12 skupił się na łataniu dziur, a nie na dodawaniu nowych funkcji.
Aktualizacja (8.02):
Na reakcję Apple’a nie trzeba było długo czekać. Firma z Cupertino postawiła deweloperom ultimatum: albo będą od teraz informować swoich użytkowników, kiedy dokładnie zbierają dane na temat ich aktywności, albo ich programy zostaną usunięte z App Store’u.