Разделы

ПО Бизнес Интернет Техника Мобильность Маркет

Массовые приложения iPhone тайно воруют личные данные миллионов людей

Фирменные приложения крупных компаний под Apple iOS без уведомления собирали личную информацию пользователей, включая пароли и данные банковских карт. Под угрозой оказались миллионы людей по всему миру.

Тотальная слежка за Apple-юзерами

Безопасность личных данных владельцев смартфонов Apple iPhone подверглась новой глобальной угрозе: в магазине App Store выявлены приложения, следящие буквально за каждым действием пользователя. По данным TechCrunch, информацию о людях со всего мира собирают не малоизвестные утилиты с околонулевым количеством скачиваний, а фирменные приложения крупных корпораций, включая авиакомпании, занимающиеся международными перелетами.

Вся информация собирается без предварительного уведомления и передается на сторонние серверы для дальнейшего анализа. Накопленная и обработанная, статистика затем используется для рекламы и продвижения новых услуг, которые могут заинтересовать пользователей.

Кто засветился

Общее количество приложений и владеющих ими компаний и сервисов еще подлежит уточнению. По состоянию на 7 февраля 2019 г. разоблачены лишь ритейлеры Abercrombie & Fitch и Hollister, приложение для путешествий Expedia, авиакомпания Air Canada, а также сайт бронирования отелей и гостиниц Hotels.com и еще одна авиакомпания – Singapore Airlines.

Touch ID и Face ID больше не способны уберечь ваши данные от кражи

В условиях использования соответствующих iOS-приложений журналисты TechCrunch не нашли ни намека на сбор персональных данных, так что никто из числа тех, на чьих iPhone установлено перечисленное ПО, не догадывался о слежке.

Что собирают

Приложения-шпионы, замаскированные под фирменное ПО, делают снимки экрана, отслеживают ввод данных при помощи клавиатуры, следят за касаниями к экрану, и делают они все это, в том числе, в фоновом режиме. Все приложения используют для этого сервис Glassbox, который дает возможность не только записывать все действия пользователя, но даже воспроизводить их повторно.

В чем опасность

Сбором статистики в том или ином виде занимаются многие разработчики и сервисы. К примеру, таргетированная реклама в социальных сетях и на других популярных ресурсах, основанная на личных интересах и предпочтениях пользователя, – это один из результатов подобной слежки.

Но в данном случае пользователи, сами того не желая, делились со скомпрометированными сервисами и очень личной информацией – паролями, адресами и даже данными банковских карт, включая номер CVC. Подобные сведения могут в дальнейшем быть использованы во вред – например, знание всех данных карты дает возможность лишить ее владельца хранящихся на ней денежных средств.

Приложение Air Canada делает скриншоты экрана, но личную информацию скрывает через раз

Многие из приложений, уличенных в слежке, не используют алгоритмы шифрования личной информации – она передавалась третьим лицам в открытом виде. Столь грубое нарушение прав допустила, в частности, авиакомпания Air Canada – к базе данных скриншотов экрана доступ мог получить, фактически, любой ее сотрудник.

Неведение Apple

Компания Apple, разместившая приложения-шпионы в своем магазине App Store, может оказаться непричастной ко всему этому. Каждое ПО, распространяемое через App Store, должно иметь собственную политику конфиденциальности, и в этом плане перечисленные утилиты правила магазина не нарушили – политика конфиденциальности у них присутствует. Другое дело, что в ней не сказано о ведении слежки за пользователями и тем более записи его действий. Соответствующие разрешения не запрашивались не только у пользователей, но и у самой Apple.

Дальнейшая судьба скомпрометированных утилит пока остается под вопросом, как и то, как компании планируют выходить из сложившейся ситуации, которая грозит им многочисленными судебными исками.

Личные данные – ценный товар

Это уже третий по счету скандал вокруг слежки за iOS-пользователями за последние две недели. В конце января 2019 г., напомним, Apple уличила Facebook в сборе личных данных миллионов людей при помощи приложения Research VPN. Facebook предлагала пользователям делиться с ней личными данными через это ПО в обмен за ежемесячное вознаграждение в размере $20. За эти деньги она покупала информацию о запущенных приложениях, посещенных веб-сайтах, звонках, переписке и т. д.

Apple посчитала подобные действия со стороны Facebook нарушением правил App Store и удалила Research VPN из каталога, «пощадив» при этом прочие фирменные утилиты Facebook, доступные в магазине.

На произошедшее сразу же отреагировал Google, признавшись в аналогичных «злодеяниях». Его приложение Screenwise Meter, запущенное еще в 2012 г. (Facebook выпустила Research VPN в 2016 г.), тоже собирало личные данные пользователей в обмен на «деньги». Google предлагал вознаграждение в виде бонусных баллов, подлежащих обмену в американских торговых сетях по курсу $1 за 100 баллов.

Эльяс Касми