Разработчик уличил Burger King в слежке за экранами пользователей через приложение Статьи редакции

Сервис якобы записывает на видео экраны смартфонов, в том числе при вводе реквизитов банковских карт. В компании утверждают, что данные карт не собираются.

Мобильное приложение Burger King, с помощью которого можно получать скидки в ресторанах сети, втайне от пользователей записывает видео с экрана смартфона. Об этом рассказал пользователь «Пикабу» под ником fennikami, который проанализировал приложение.

Он обнаружил, что при запуске приложение начинает записывать видео с экрана смартфона и отсылать записи на сервер — даже в свёрнутом состоянии. По словам fennikami, приложение записывает экран даже когда пользователь вводит данные банковской карты для оплаты заказа.

Сверху — запрос приложения к серверу, снизу — ответ сервера. Параметр MaxVideoLength (максимальная длина видео) указан как «0», что означает бесконечную запись при запущенном приложении

Автор публикации утверждает, что доступ к записи имеют не только разработчики Burger King, но и партнёры платформы AppSee, на серверы которой запись также отправляется. AppSee позволяет измерять активность пользователей и оценивать их взаимодействие с приложениями.

AppSee — это такая метрика или статистика для приложений. Чуваки специализируются на таком вот способе отслеживать приложение для разработчиков и маркетологов. Мало того, что записывать экран ни разу не круто, так ещё и к этим видео имеют доступ не только разработчики приложения Burger King, но и всякая шушера вроде партнёров AppSee, то есть совершенно левые люди, да и сам AppSee тоже.

fennikami
Скриншот видео, записанного приложением Burger King

Редакция vc.ru обратилась за комментарием в пресс-службу Burger King с просьбой рассказать, для чего компания записывает экраны пользователей и как использует эти данные. В Burger King на момент написания заметки не ответили на запрос.

Обновлено в 13:15. Представители Burger King сообщили vc.ru, что приложение действительно записывает действия пользователей с помощью сервиса AppSee, но данные карт не собираются.

Наше приложение действительно подключено к одной из самых известных во всем мире и защищённых аналитических платформ — AppSee, которая позволяет выявлять технические проблемы и другие «узкие» места в работе приложения. То есть это техническая надстройка, которая позволяет программистам определять, какой блок мобильного приложения следует улучшать для более удобной и бесперебойной работы.

Эта система не имеет ничего общего со сбором персональных данных. Более того, ни мы, ни специалисты AppSee не видят персональных данных (они приходят на сервер в обезличенном виде).

Сам сервис не записывает данные банковских карт и наш эквайринг («Яндекс.Касса») не передает нам данные банковских карт. Никто, включая AppSee не может видеть подобных данных, так как они программно зашифрованы и скрыты в видео черными полосками.

пресс-служба Burger King

В компании добавили, что данные собираются на небольшом количестве случайно отбираемых пользователей и охватывают менее 10% всех сессий. Пользователь может отказаться от применения AppSee к его сессиям, написав в поддержку Burger King. Сейчас приложением пользуются около 3 млн человек, отметили в компании, не уточнив период.

0
140 комментариев
Написать комментарий...
Pavel Zamyatin

Никто? Ну ладно, я начну.
После публикации этой новости отношения между Burger King его пользователями резко обострились...

Ответить
Развернуть ветку
Vladislav Grischenko

клиенты вдруг поняли, что это какое-то наедалово...

Ответить
Развернуть ветку
Igor Novikov

Вряд ли всё настолько страшно. Апси наш основной конкурент) Мы предоставляем похожие возможности: тоже запись скриншотов приложения, которые собираются в видео. Все секьюрные поля скрываются автоматом. Отдельно, консультируем разработчиков и настоятельно рекомендуем скрывать не только поля, но и целые экраны с личными данными пользователей. Доступа к видео ни у кого, кроме владельца аккаунта нет.

Куда хуже, что апси конкретно нагружает смартфоны. Поэтому расход трафика и заряда бешеный. Тут действительно есть от чего напрячься. Особенно учитывая, что классический кейс использования приложения, когда ты находишься вне дома и далеко не всегда с подключенным wi-fi.

Ответить
Развернуть ветку
1 комментарий
Ultratesting

appsee очень полезная штука
и она не записывает экраны с логинами/паролями и в том числе реквизиты карт
хакер с пикабу епт

Ответить
Развернуть ветку
Denis Germanenko

Она не записывает только в том случае, если разработчик пометил эти поля в коде специальными флагами. Если не пометил, то записывается все.

Ответить
Развернуть ветку
3 комментария
Nowember-Demitsuri

Блин, приложение шлёт видео! Это же трафик и батарея. Это нормально?

Ответить
Развернуть ветку
2 комментария
Denis Germanenko

AppSee действительно удобный сервис, который позволяет проводить аналитические исследования пользователей своего приложения.
При этом правил он никаких не нарушает (Apple гайды и т.п.).

Однако, надо убедиться, что Burger King в Terms of Use или Политике приватности указал, что данные пользователей передаются в этот сервис. Ну и по классике все по GDPR должно быть соблюдено.

Вот только тут на лицо ошибка разработчиков. Кстати, приложение делалось на аутсорсе, не составляет труда найти название компании, которая его разрабатывала. Разработчики забыли пометить определенные поля (например, карточные данные, другие приватные поля) специальным флагом, по которому система скрывает (прямо реально на видео появляются черные прямоугольники) эти поля, и человек, просматривающий видео, их не видит. Это все происходит на уровне SDK. Такая ошибка часто допускается, когда к проекту привлекают неопытных джуниор-разработчиков.

Ответить
Развернуть ветку
true iBegginer

А GDPR относится к РФ?

Ответить
Развернуть ветку
1 комментарий
Семен Смирнов
не составляет труда найти название компании, которая его разрабатывала. Разработчики забыли пометить определенные поля (например, карточные

Зачем? В мире, где существуют такие понятия как ТЗ, тестирование, приемка обвинять аутсорсеров?

Если разработчики что-то забывают, для того и придумали контроль качества

Ответить
Развернуть ветку
6 комментариев
Yury Molodtsov

Ждем пока недохакеры с Пикабу откроют и другие технологии мобильной разработки и таргетированной рекламы. Предлагаю им взглянуть на device fingerprinting.

Ответить
Развернуть ветку
Серж Заяц

до кучи поведенческий анализ :) откроют для себя много нового.

Ответить
Развернуть ветку
Семен Смирнов

В этой новости пользователи познакомятся с мобильными сервисами аналитики и отслеживания ошибок

приложение записывает экран даже когда пользователь вводит данные банковской карты для оплаты заказа

Нет, данные карты не светятся, как и все поля ввода

но и партнёры платформы AppSee, на серверы которой запись также отправляется

Им до жопы эти записи, они каждый день десятками тысяч идут

Параметр MaxVideoLength (максимальная длина видео) указан как «0», что означает бесконечную запись при запущенном приложении

Ну... нет

Скриншот видео, записанного приложением Burger King

Скриншот с экраном банковских карт показать?

Ответить
Развернуть ветку
Василий Крылов

Да все это нативная реклама appsee. Хайповый заголовок разнесет новость и все узнают про чудо аналитику)

Ответить
Развернуть ветку
2 комментария
Егор Бояркин

Даже разбираться не буду. Просто удалил приложение.

Ответить
Развернуть ветку
Щукин Сергей

Позиция "даже разбираться не буду" в 21 веке, тем более публичная - это не совсем выигрышная стратегия.

Как минимум, ваш вероятный работодатель, который читает VC может случайно запомнить ваш аватар.

Ну и новые нейронные связи никому не мешали пока, я слышал.. аксоны там, электрохимия мозга..

Ответить
Развернуть ветку
29 комментариев
Семен Смирнов

Хомяки подянулись, которым просто новости достаточно

Ответить
Развернуть ветку
Вася Пражкин

Даже разбираться не буду, просто заминусовал

Ответить
Развернуть ветку
Johnny Vorony

А гугл и эпл отслеживают твою геопозицию, а также снимают отпечатки пальцев и т.д.
Не разбирайся - просто выкинь телефон в окно!

Ответить
Развернуть ветку
1 комментарий

Комментарий удален модератором

Развернуть ветку
Bogomaz Artem

Не бургер Кинг записывает, а сервис AppSee к которому подключен Burger King и еще куча партнеров.
Запись идет для отслеживания активности пользователя на экране приложения

Ответить
Развернуть ветку
Nikki Mikami

Записывает экран во время ввода карты в том числе.

Ответить
Развернуть ветку
14 комментариев
Alexander Kusmenko

"Дремучие" редакторы пропускают статьи от "дремучих" журналистов.
Appsee блурит поля ввода в приложении. Он собирает аналитику о взаимодействии пользователя с мобильным приложением. И из-за этого толпа дремучих людей удалит приложение бургеров. Открою Америку, практически все приложения собирают телеметрию на мобильных устройствах.

Appsee's user recordings allow you to see your app through your user's eyes. They supply you with powerful user feedback on your app's UX and a complete picture of your user journeys. Appsee’s User Recordings analyze users on the single-user level and record all taps, swipes, and actions. Plus, with advanced, remote configuration capabilities, you can choose exactly which sessions will be video-recorded. By watching user recordings of real- time user sessions, you’ll have a clear, visual representation of what is “working” for your mobile app and what isn’t.

See and Understand:

Why are users not signing up?
Where are users becoming frustrated and abandoning a session?
Why are users not completing a purchase?

Ответить
Развернуть ветку
Адияр Куатов

PR-отдел отрабатывают премию

Ответить
Развернуть ветку
Vanya Indigo

И хорошо отрабатывает 😉

Ответить
Развернуть ветку
Pavel Ivanov

Типичный сервис по типу Яндекс.Вебвизор, NewRelic и проч. - для сбора инфы и аналитики. Только тот же Яндекс.Вебвизор сам замыливает данные карт и пароли. Нужны для аналитики поведения пользователей. В миллионах приложений и на сайтах юзают такое.

Ответить
Развернуть ветку
ave ego

вот полезное расширение блокировщие яндекс метрики, ее любят даже банки внутрь своего онлайн банкинга пихать и оно тоже записывает
https://chrome.google.com/webstore/detail/gchpojdbkmdnbgpmlncnhafkpgnddcmd

Ответить
Развернуть ветку
3 комментария
Иван Гессе

у бк самое странное приложение из всех что встречал за последнее время.
когда только установил и не запретил фоновую работу оно отправило траффика на 0,5гб за неделю. и это было больше, чем я насидел в телеграмме.

Ответить
Развернуть ветку
Фан-клуб Валентина Стрыкало

Плюс ещё ОЧЕНЬ и ОЧЕНЬ долгая загрузка приложения. Пока дождёшься - состаришься.

Ответить
Развернуть ветку
Sagit Khaliullin

Кстати, меня уволили из бургер кинга, но код остался

Ответить
Развернуть ветку
bum pum

Ты теперь в макдак пойдёшь или кфс?

Ответить
Развернуть ветку
SDL

Это автор ещё яндекс.метрику не ковырял. Увидит к какому количеству данных она имеет доступ - шиза нагрянет.

Ответить
Развернуть ветку
ave ego

роскомнадзору следует просто заблокировать appsee аналитику на территории рф для защиты персональных данных, раз разработчики не умеют ее правильно настраивать, чтобы банковские карты не писались, а то банки еще начнут блокировать все карты, которыми покупали в приложении бургеркинга

Ответить
Развернуть ветку
Сева Матвеев

Отличная идея, отправьте им запрос? Лучше бы на всякий случай в принципе Appstore заблокировать, там тоже картой платить надо

Ответить
Развернуть ветку
1 комментарий
Velemir Hasidov

Понятно, что замыливает и всё такое... Но слать ВИДЕО?! И сколько это видео примерно стоит(весит)?

Ответить
Развернуть ветку
Denis Germanenko

По дефолту видео отправляется только при наличии Wi-Fi.

Ответить
Развернуть ветку
3 комментария
Алексей Бакеев

Что-то похоже на очередной маркетинговый ход от БК. Сейчас они появятся и объяснят всем какие они белые и пушистые.

Ответить
Развернуть ветку
Nikki Mikami

Их пиарщики в комментах обострились. :)

Ответить
Развернуть ветку
Стас Илькинов

ЕТА РИКЛАМА!!!!1111

Ответить
Развернуть ветку
Prosto Les

Каждый день у тебя в кармане хрень в которую встроены 2 камеры, GPS/ГЛОНАСС, микрофон, гироскоп, кучка других датчиков и вся эта лабуда по 4G подключена к интернету. При этом мощность этой лабуды позволяет геймится в 3D online без регистрации и смс. И если видос пишет только бургерная, это наименьшая проблема.

Ответить
Развернуть ветку
Виталя

Порнхаб то сколько сливает трафика чтобы делать отличный контент анализируясь на запросах пользователей ;)

Ответить
Развернуть ветку
Фан-клуб Валентина Стрыкало

Чёрное зеркало референс?

Ответить
Развернуть ветку
Nikki Mikami

Да не рекламный ход это. Почитайте мой пост на ТЖ, я там описал подробно все.

Ответить
Развернуть ветку
Иван Горовой

Я понял, это всё подстава, что бы пропиарить твой пост на ТЖ

Ответить
Развернуть ветку
10 комментариев
Виталий Воробьев

Пару раз пользовался приложением на android и забыл про него. Посмотрел трафик, оно каждый месяц передает ~300 мб.
Снес нафиг, пойду сегодня к тем, у кого наггетсы дороже 69 рублей, а то БК это наедалово какое-то.

Ответить
Развернуть ветку
Stas Sokolov

Им потребуются стальные яйцебургеры!

Ответить
Развернуть ветку
Alexey Laptev

обожемой, кто-то анализирует ПО чтобы лучше зарабатывать, чтобы было чем платить зарплату разоблачителям за кассой

Ответить
Развернуть ветку
Average User

Опять школьники с Пикабу что-то нашли.
Этому кейсу с записью экрана уже 100 лет.
Он думает один Burger King так отличился?

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Teo

Там просто запись экрана приложения происходит без всяких опознавательных сигналов. Да, сама возможность присутствует, по крайней мере в Swift

Ответить
Развернуть ветку
Artem Bondar

В общем случае не позволяет. Чуваки из AppSee просто делают раз в пол секунды скриншоты главного окна, и склеивают это дело в видео

Ответить
Развернуть ветку
Константин Герасимов

"Привет! Мне 18" (с)
Дальше не читал

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Вера Гагарина

О, как быстро разлетается новость... Скоро на всех сайтах страны!

Ответить
Развернуть ветку
Вера Гагарина

В макдональдсе сегодня праздник :)

Ответить
Развернуть ветку
Evgenii Ishchenkov

Отличная PR-компания.
Вот кто-то пользуется мобильным приложением ФАСТФУДА?
Я таких не знаю ) Но зато тему обсуждают весь день :)

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Alexei Liaukouski

‘Написать в поддержку, чтобы начали записывать
Ну конечно, так никто не сделает! А писать, чтобы это отключили - единицы так сделают!
****

Ответить
Развернуть ветку
Антон Бузов

товарищ майор сотрудничает с бургерной?

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
ave ego

пишет не через камеру, а скриншотами с экрана

Ответить
Развернуть ветку
Виталя

Ну всё, пофиксили задние ходы.
Всем + за активное участие ))

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Станислав Одинцов

Бургер Кинг, вы похоже ебанулись со своей креативностью. Делайте лучше нормальные бургеры, а не занимайтесь хуйней

Ответить
Развернуть ветку
bum pum

Вы ещё скажите что мол накладные усы и нос не одеваете когда пользуетесь телефоном или компом с камерой

Ответить
Развернуть ветку
bum pum

Вопрос основной - как скоро они научаться мысли читать... скоро ли придётся шапочку из фольги менять на шапочку из облепихи (по проводимости решает честь задач)

Ответить
Развернуть ветку
bum pum

Ты не прав в своих отрицательных оценках ибо ты противоречишь самой логике и здравому смыслу... так что одумайся дорогой друг прошу тебя

Ответить
Развернуть ветку
137 комментариев
Раскрывать всегда