Бургеры-шпионы: Burger King оказался королем слежки
В отношениях ИТ-индустрии, общества, бизнеса и пользователей наступил новый этап отношений. И эту новую реальность нельзя игнорировать. Формальный повод — скандал с приложением для смартфонов сети фастфуда Burger King, которое записывает видео (!) происходящего на экране. И передает это третьим лицам. Включая те моменты, когда вы вбиваете, например, данные банковских карт
Давайте сначала с формальным поводом разберемся. Пользователь Рунета с ником fennikami и навыками программирования решил в свободное время посмотреть на то, как устроено приложение «Бургер Кинга» на iOS. Парню всего 18 лет и он учится программировать. Набирается опыта, смотрит на то, как устроено все у серьезных дядей.
Сначала не было ничего криминального: после проверки трафика от приложения к серверу обнаружилась стандартная информация вроде модели телефона, разрешения экрана, времени запуска приложения. А в ответ с сервера прилетает команда: «Записывай видео с экрана». Но у этой команды есть параметры. Один из которых, ключевой в нашей истории, — MaxVideoLength (максимальная длина видео). Для этого параметра указано значение «ноль». Что означает в нашем случае «пиши всегда и все, что происходит на экране». А затем это все отправляется на сервер. Даже через мобильный интернет.
Google опять подтекает: Кто виноват в сливе данных пользователей
И ладно бы (хотя ничего не ладно) данные отсылались только в «Бургер Кинг». Компания же продвинутая, вот и использует сервис метрики AppSee, в который попадает видео, как вы собственноручно вбиваете данные своей банковской карты. С полными данными, и CVC-код в том числе. И любые партнеры AppSee, включая самых маргинальных, таким простым способом получили данные вашей кредитки. Заодно записываются прикосновения к экрану и сопоставляются с приложением. Это тоже доступно куче людей.
Теперь к составляющей информационной безопасности. Как вообще такой ужас прошел модерацию Apple, и что тогда творится на Андроиде, который в разы менее тоталитарен с точки зрения возможностей творить что захочется?!
Еще раз. Приложение без вашего ведома за вами следит, полностью записывая все ваши действия и воруя у вас финансовую информацию. И если бы не любознательность обычного парня, мы бы даже не узнали об этом. Самое страшное, что ты можешь быть как пользователь и потребитель сколь угодно технически подкован, использовать все средства защиты, благоразумные и нужные. И все равно твои данные окажутся у кого попало.
Фото: www.globallookpress.com
Знал ли «Бургер Кинг», что в его приложение такое встроено? Конечно, знал! Мало того, просил, чтобы приложение собирало больше данных. Ведь компания не сама разработала это. Помогли ребята из «Фабрики лояльности». Боюсь, что к «Бургер Кингу» лояльность теперь несколько упадет.
Нельзя пройти мимо и юридической стороны вопроса, которая является не вишенкой даже, а всей начинкой торта. Читаем три пункта пользовательского соглашения:
Мобильные атаки: Сколько крадут денег со смартфонов
5.6. Компания вправе передавать права и обязанности по настоящему Соглашению третьим лицам в целях исполнения настоящего Соглашения, без дополнительного согласия Пользователя.
5.1. Пользователь, соглашаясь с настоящим Пользовательским соглашением, предоставляет свое информированное и добровольное согласие на участие в стимулирующих рекламных, маркетинговых и иных мероприятиях, направленных на продвижение услуг Компании, партнеров Компании и иных третьих лиц. Компания вправе от своего имени направлять Пользователю информацию о функционировании Приложения, информационные, рекламные или иные сообщения на адрес электронной почты, номер телефона, указанные Пользователем, а также размещать соответствующую информацию в самом Приложении.
7.1. Компания не дает никаких гарантий, в частности, относительно работоспособности Приложения, его функциональных возможностей, информационного содержания, доступности, надежности работы и соответствия потребностям и ожиданиям Пользователя.
Фото: www.globallookpress.com
Господа, да это просто образец блестящего юридического крючкотворства! В переводе на русский это означает: «Нам плевать, мы будем передавать данные кому хотим, куда хотим и как хотим. И не собираемся за это отвечать». Естественно, не под запись несколько разработчиков и представителей компаний мобильной индустрии подтвердили, что это повсеместная история. Что собирается данных иногда в разы больше, чем нужно. И это никак не контролируется пользователями.
Отрасль срочно нуждается в ремонте. Бесконтрольная передача любых персональных данных должна стать не только незаконной, но и постыдной практикой, за которой следует мгновенное общественное порицание. Нельзя воровать финансовые данные у пользователей. Ни под какими предлогами. Пользователям нужно объяснять, что вы собираете, зачем, куда это идет, и кто к этому имеет доступ. И делать это в удобном для пользователя, а не для вас виде. Не прикрываясь юридическим языком.
Пора брать на себя ответственность. И не только бизнесу, законодателям или чиновникам. Всем! Дальше так продолжаться не может. И да, дорогие коллеги из «Бургер Кинга», заставьте, пожалуйста, переписать подрядчика ваше приложение и объясните, как оно будет работать дальше.