Разработчик уличил Burger King в слежке за экранами пользователей через приложение

Сервис якобы записывает на видео экраны смартфонов, в том числе при вводе реквизитов банковских карт. В компании утверждают, что данные карт не собираются.

Мобильное приложение Burger King, с помощью которого можно получать скидки в ресторанах сети, втайне от пользователей записывает видео с экрана смартфона. Об этом рассказал пользователь «Пикабу» под ником fennikami, который проанализировал приложение.

Он обнаружил, что при запуске приложение начинает записывать видео с экрана смартфона и отсылать записи на сервер — даже в свёрнутом состоянии. По словам fennikami, приложение записывает экран даже когда пользователь вводит данные банковской карты для оплаты заказа.

Сверху — запрос приложения к серверу, снизу — ответ сервера. Параметр MaxVideoLength (максимальная длина видео) указан как «0», что означает бесконечную запись при запущенном приложении
Сверху — запрос приложения к серверу, снизу — ответ сервера. Параметр MaxVideoLength (максимальная длина видео) указан как «0», что означает бесконечную запись при запущенном приложении

Автор публикации утверждает, что доступ к записи имеют не только разработчики Burger King, но и партнёры платформы AppSee, на серверы которой запись также отправляется. AppSee позволяет измерять активность пользователей и оценивать их взаимодействие с приложениями.

AppSee — это такая метрика или статистика для приложений. Чуваки специализируются на таком вот способе отслеживать приложение для разработчиков и маркетологов. Мало того, что записывать экран ни разу не круто, так ещё и к этим видео имеют доступ не только разработчики приложения Burger King, но и всякая шушера вроде партнёров AppSee, то есть совершенно левые люди, да и сам AppSee тоже.

fennikami
Скриншот видео, записанного приложением Burger King
Скриншот видео, записанного приложением Burger King

Редакция vc.ru обратилась за комментарием в пресс-службу Burger King с просьбой рассказать, для чего компания записывает экраны пользователей и как использует эти данные. В Burger King на момент написания заметки не ответили на запрос.

Обновлено в 13:15. Представители Burger King сообщили vc.ru, что приложение действительно записывает действия пользователей с помощью сервиса AppSee, но данные карт не собираются.

Наше приложение действительно подключено к одной из самых известных во всем мире и защищённых аналитических платформ — AppSee, которая позволяет выявлять технические проблемы и другие «узкие» места в работе приложения. То есть это техническая надстройка, которая позволяет программистам определять, какой блок мобильного приложения следует улучшать для более удобной и бесперебойной работы.

Эта система не имеет ничего общего со сбором персональных данных. Более того, ни мы, ни специалисты AppSee не видят персональных данных (они приходят на сервер в обезличенном виде).

Сам сервис не записывает данные банковских карт и наш эквайринг («Яндекс.Касса») не передает нам данные банковских карт. Никто, включая AppSee не может видеть подобных данных, так как они программно зашифрованы и скрыты в видео черными полосками.

пресс-служба Burger King

В компании добавили, что данные собираются на небольшом количестве случайно отбираемых пользователей и охватывают менее 10% всех сессий. Пользователь может отказаться от применения AppSee к его сессиям, написав в поддержку Burger King. Сейчас приложением пользуются около 3 млн человек, отметили в компании, не уточнив период.

5959
140 комментариев

Никто? Ну ладно, я начну.
После публикации этой новости отношения между Burger King его пользователями резко обострились...

74

клиенты вдруг поняли, что это какое-то наедалово...

26

Вряд ли всё настолько страшно. Апси наш основной конкурент) Мы предоставляем похожие возможности: тоже запись скриншотов приложения, которые собираются в видео. Все секьюрные поля скрываются автоматом. Отдельно, консультируем разработчиков и настоятельно рекомендуем скрывать не только поля, но и целые экраны с личными данными пользователей. Доступа к видео ни у кого, кроме владельца аккаунта нет.

Куда хуже, что апси конкретно нагружает смартфоны. Поэтому расход трафика и заряда бешеный. Тут действительно есть от чего напрячься. Особенно учитывая, что классический кейс использования приложения, когда ты находишься вне дома и далеко не всегда с подключенным wi-fi.

2

appsee очень полезная штука
и она не записывает экраны с логинами/паролями и в том числе реквизиты карт
хакер с пикабу епт

30

Она не записывает только в том случае, если разработчик пометил эти поля в коде специальными флагами. Если не пометил, то записывается все.

9

Блин, приложение шлёт видео! Это же трафик и батарея. Это нормально?

5

AppSee действительно удобный сервис, который позволяет проводить аналитические исследования пользователей своего приложения.
При этом правил он никаких не нарушает (Apple гайды и т.п.).

Однако, надо убедиться, что Burger King в Terms of Use или Политике приватности указал, что данные пользователей передаются в этот сервис. Ну и по классике все по GDPR должно быть соблюдено.

Вот только тут на лицо ошибка разработчиков. Кстати, приложение делалось на аутсорсе, не составляет труда найти название компании, которая его разрабатывала. Разработчики забыли пометить определенные поля (например, карточные данные, другие приватные поля) специальным флагом, по которому система скрывает (прямо реально на видео появляются черные прямоугольники) эти поля, и человек, просматривающий видео, их не видит. Это все происходит на уровне SDK. Такая ошибка часто допускается, когда к проекту привлекают неопытных джуниор-разработчиков.

15