苹果更新了开发者指南,要求使用类似 Glassbox 开发工具的开发者,删除这类内嵌在应用里的分析工具或向用户明确披露这种工具对数据收集的方式,否则将从 AppStore 中移除该应用。

移动应用安全博客 App Analyst 发布安全报告称,加拿大航空使用一款名为 Glassbox 的工具获取用户的位置信息及手机的屏幕截图。

根据这份报告,TechCrunch 又和 App Analyst 在进一步分析中发现了多个应用在使用 Glassbox 获取用户的隐私信息,包括服装品牌 Abercrombie&Fitch 、Hollister、新加坡航空公司、Expedia、Hotels.com 等,这些应用都没有向用户发送过允许获取该类隐私信息的请求,也没有在隐私政策中告知用户存在这种行为。 Expedia、Hotels.com 都是全球使用率较高的两个酒店预定网站,使用者不乏中国用户。

Glassbox 是一家移动应用数据分析公司,通过给客户的手机应用嵌入一种可以实现“会话重放”的 SDK 开发工具,来获取用户使用应用时的每个点击和滑动屏幕的动作,并可以直接对用户的操作进行录屏。与常见的通过记录浏览记录、订单等信息对用户进行监控。不同的是,录屏的方式会获得用户手机中更敏感的隐私信息。

App Analyst 的安全报告显示,带有 Glassbox 开发工具的加拿大航空手机应用会对用户存储的信用卡、支付密码、邮箱及邮箱密码等信息进行模糊处理或阻止对此类信息的收集,但 Glassbox 工具会在录屏时直接存储相关的信息截图,这些截图的存储路径未知,有可能是存储在 Glassbox 的云端也有可能是存在加拿大航空的数据库中。

2018 年 8 月,加拿大航空曾发生过用户隐私泄露事件,涉及 2 万名用户的护照、邮箱和电话等其它隐私信息。加拿大航空确认了泄露事件,但未说明具体泄露原因。

Glassbox 开发者工具涉及用户隐私泄露的信息传出后,Google Play 暂时还未对消息作出回应。

Glassbox 发布声明称,它们的开发工具主要是用于帮助客户测试用户在使用移动应用时的体验是否流畅,发现遇到的问题以排除故障,并相信客户会对用户的隐私信息进行保护。新加坡航空则表示数据收集符合他们的用户隐私条款。

Glassbox 不是唯一一个使用录屏方式为客户提供“会话重放”的公司,Appsee、 UXCam 等移动应用数据分析公司都为客户提供类似的开发辅助工具,这在行业中也几乎是公开的秘密,但大多数用户并不知情。 APPsee 和 UXcam 也都在中国有业务分部,网易、三星、711 等都是它们的客户。

题图:Visualhunt

声明:本文来自好奇心日报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。