[新聞] 知名訂房網站、航空公司、零售業者未經同

作者: BlackBerry10 (BBX)   2019-02-11 14:27:11
知名訂房網站、航空公司、零售業者未經同意暗中側錄用戶App使用螢幕畫面
https://www.ithome.com.tw/news/128668
Hotels.com及加拿大航空等企業App會暗中錄下iPhone用戶在螢幕上的操作動作,蘋果得
知此事後已要求這些公司修正
繼一月底爆料臉書VPN App以月費20美元代價換取用戶同意提供一切手機上的行為後,
Techcrunch再揭露,多家知名業者包括Abercrombie & Fitch、Expedia、Hotels.com及加
拿大航空App會在未告知使用者的情況下,偷偷錄下iPhone用戶在螢幕上的所有點擊、滑
手機與按鍵動作。蘋果聞訊後已要求這些業者修正。
Techcruch最新一次調查蒐集了多家知名公司,包括訂房及訂票網站、流行服務品牌、電
信、航空公司及銀行、金融業者的iOS App。結果發現所有廠商,包括Holister、Expedia
及加拿大航空等知名企業的iOS App,都沒有在服務條款中提及會紀錄使用者App的螢幕畫
面,自然也就沒有取得用戶同意這回事,用戶當然也對這些行為一無所知。
此外,Abercrombie & Fitch、Hotels.com和新加坡航空還使用一家用戶使用經驗分析平
台Glassbox的服務,在其App中嵌入連線重播(session replay)的技術。該技術可錄下
用戶使用App時的每個點擊、按鍵與鍵盤輸入的內容動作,然後回傳給App開發商,有的則
是回傳給Glassbox的雲端平台作為用戶行為分析。
但是和Techcrunch合作的安全研究公司,利用中間人攻擊工具(man-in-the-middle)從
中攔截這些App回傳時的流量時,發現部份公司如加拿大航空的App,並沒有實作完整的資
料遮罩,以致於用戶信用卡號碼、生日與住址可被明碼取得。
這些未告知用戶而錄下App使用行為的作法,都違反了蘋果對App開發商的隱私權公告規定
。在報導刊出後,蘋果已經要求上述廠商需移除紀錄用戶使用畫面的程式碼,否則就得明
白揭露此事。
蘋果發言人表示,保護用戶隱私是蘋果生態體系的首要任務,App Store審查指導原則要
求所有App對於錄製、登入或任何紀錄用戶行為,都必須取得明顯同意並提供清楚的影像
說明。蘋果已經通知這些App開發商他們違反蘋果的隱私條款及指導原則,表示必要時會
立即採取行動。
一月底Techcrunch揭發臉書Facebook Research VPN違規使用了蘋果企業用測試版App憑證
,隨後Google的Screenwise Meter也被發現有類似情形,兩者都遭到臉書取消憑證處份,
不過事發一天後都獲得復原。

Links booklink

Contact Us: admin [ a t ] ucptt.com