Techcruch最新一次調查蒐集了多家知名企業的iOS App。結果發現包括加拿大航空等知名企業的iOS App,都沒有在服務條款中提及會紀錄使用者App的螢幕畫面,用戶當然也對這些行為一無所知。

繼一月底爆料臉書VPN App以月費20美元代價換取用戶同意提供一切手機上的行為後,Techcrunch再揭露,多家知名業者包括Abercrombie & Fitch、Expedia、Hotels.com及加拿大航空App會在未告知使用者的情況下,偷偷錄下iPhone用戶在螢幕上的所有點擊、滑手機與按鍵動作。蘋果聞訊後已要求這些業者修正。

Techcruch最新一次調查蒐集了多家知名公司,包括訂房及訂票網站、流行服務品牌、電信、航空公司及銀行、金融業者的iOS App。結果發現所有廠商,包括Holister、Expedia及加拿大航空等知名企業的iOS App,都沒有在服務條款中提及會紀錄使用者App的螢幕畫面,自然也就沒有取得用戶同意這回事,用戶當然也對這些行為一無所知。

此外,Abercrombie & Fitch、Hotels.com和新加坡航空還使用一家用戶使用經驗分析平台Glassbox的服務,在其App中嵌入連線重播(session replay)的技術。該技術可錄下用戶使用App時的每個點擊、按鍵與鍵盤輸入的內容動作,然後回傳給App開發商,有的則是回傳給Glassbox的雲端平台作為用戶行為分析。

但是和Techcrunch合作的安全研究公司,利用中間人攻擊工具(man-in-the-middle)從中攔截這些App回傳時的流量時,發現部份公司如加拿大航空的App,並沒有實作完整的資料遮罩,以致於用戶信用卡號碼、生日與住址可被明碼取得。

這些未告知用戶而錄下App使用行為的作法,都違反了蘋果對App開發商的隱私權公告規定。在報導刊出後,蘋果已經要求上述廠商需移除紀錄用戶使用畫面的程式碼,否則就得明白揭露此事。

蘋果發言人表示,保護用戶隱私是蘋果生態體系的首要任務,App Store審查指導原則要求所有App對於錄製、登入或任何紀錄用戶行為,都必須取得明顯同意並提供清楚的影像說明。蘋果已經通知這些App開發商他們違反蘋果的隱私條款及指導原則,表示必要時會立即採取行動。

一月底Techcrunch揭發臉書Facebook Research VPN違規使用了蘋果企業用測試版App憑證,隨後Google的Screenwise Meter也被發現有類似情形,兩者都遭到臉書取消憑證處份,不過事發一天後都獲得復原


Advertisement

更多 iThome相關內容