Разработчик уличил Burger King в слежке за экранами пользователей через приложение Статьи редакции

Сервис якобы записывает на видео экраны смартфонов, в том числе при вводе реквизитов банковских карт. В компании утверждают, что данные карт не собираются.

Мобильное приложение Burger King, с помощью которого можно получать скидки в ресторанах сети, втайне от пользователей записывает видео с экрана смартфона. Об этом рассказал пользователь «Пикабу» под ником fennikami, который проанализировал приложение.

Он обнаружил, что при запуске приложение начинает записывать видео с экрана смартфона и отсылать записи на сервер — даже в свёрнутом состоянии. По словам fennikami, приложение записывает экран даже когда пользователь вводит данные банковской карты для оплаты заказа.

Сверху — запрос приложения к серверу, снизу — ответ сервера. Параметр MaxVideoLength (максимальная длина видео) указан как «0», что означает бесконечную запись при запущенном приложении

Автор публикации утверждает, что доступ к записи имеют не только разработчики Burger King, но и партнёры платформы AppSee, на серверы которой запись также отправляется. AppSee позволяет измерять активность пользователей и оценивать их взаимодействие с приложениями.

AppSee — это такая метрика или статистика для приложений. Чуваки специализируются на таком вот способе отслеживать приложение для разработчиков и маркетологов. Мало того, что записывать экран ни разу не круто, так ещё и к этим видео имеют доступ не только разработчики приложения Burger King, но и всякая шушера вроде партнёров AppSee, то есть совершенно левые люди, да и сам AppSee тоже.

fennikami
Скриншот видео, записанного приложением Burger King

Редакция vc.ru обратилась за комментарием в пресс-службу Burger King с просьбой рассказать, для чего компания записывает экраны пользователей и как использует эти данные. В Burger King на момент написания заметки не ответили на запрос.

Обновлено в 13:15. Представители Burger King сообщили vc.ru, что приложение действительно записывает действия пользователей с помощью сервиса AppSee, но данные карт не собираются.

Наше приложение действительно подключено к одной из самых известных во всем мире и защищённых аналитических платформ — AppSee, которая позволяет выявлять технические проблемы и другие «узкие» места в работе приложения. То есть это техническая надстройка, которая позволяет программистам определять, какой блок мобильного приложения следует улучшать для более удобной и бесперебойной работы.

Эта система не имеет ничего общего со сбором персональных данных. Более того, ни мы, ни специалисты AppSee не видят персональных данных (они приходят на сервер в обезличенном виде).

Сам сервис не записывает данные банковских карт и наш эквайринг («Яндекс.Касса») не передает нам данные банковских карт. Никто, включая AppSee не может видеть подобных данных, так как они программно зашифрованы и скрыты в видео черными полосками.

пресс-служба Burger King

В компании добавили, что данные собираются на небольшом количестве случайно отбираемых пользователей и охватывают менее 10% всех сессий. Пользователь может отказаться от применения AppSee к его сессиям, написав в поддержку Burger King. Сейчас приложением пользуются около 3 млн человек, отметили в компании, не уточнив период.

0
140 комментариев
Написать комментарий...
Bogomaz Artem

Не бургер Кинг записывает, а сервис AppSee к которому подключен Burger King и еще куча партнеров.
Запись идет для отслеживания активности пользователя на экране приложения

Ответить
Развернуть ветку
Nikki Mikami

Записывает экран во время ввода карты в том числе.

Ответить
Развернуть ветку
Artem Bondar

Вы бы поизучали сначала что такое AppSee, а потом бежали "сенсацию" разносить...

И почитали бы их ToS & PP. https://www.appsee.com/legal/privacypolicy
Эти "партнеры" как вы их назвали - это хостеры и сервис провайдеры, которых они используют для развертывания инфраструктуры.

Насчет персональных данных - разработчик подключающий appSee сам настраивает, какие данные надо "замылить", и какие экраны записывать не надо. Конечно есть вероятность что BK некомпетентны и не делают этого. Но что-то мне подсказывает, что раз они знакомы с этим сервисом, то все у них хорошо с качеством разработки, и они понимают правила работы с персональными данными.

В общем вы глупость написали и подлили масла в огонь паранойи и без того закошмареных "прайваси" людей.

Ответить
Развернуть ветку
iLeonidze

Во время отправки видео на сервер - ничего не замылено. А это означает что это видео могут перехватить кто угодно, как и автор оригинального поста сделал это простеньким MITM.

Ответить
Развернуть ветку
Leonid Bogolubov

Все видео шифруется, автор оригинального поста просто увидел факт передачи. Данные идут по https с 2048 бит ключом и хранятся в шифрованных хранилищах.

Ответить
Развернуть ветку
true iBegginer

А что тогда в статье с подписью: Скриншот видео, записанного приложением Burger King

Ответить
Развернуть ветку
Ivan Pogoreloff

TLDR: автор понятия не имеет, как все работает и порет чушь.

Автор использует Fiddler. Я не знаю, что он порет за чушь на тему отсутствия cert pinning, но без установленного в таргет системе Fiddler CA Certificate перехват HTTPS не работает ни в одной из существующих ОС, независимо от наличия/отсутствия pinning. Pinning это не для MITM, а скорее для защиты от подобных автору товарищей (которая, впрочем, тоже обходится). На скриншоте ниже - пример того, как выглядит "перехваченный" трафик из браузера (в браузерах нет пиннинга, как вы понимаете) без корневого сертификата - там только информация о создании туннеля.

Если же пользователь сам добавляет в систему неизвестные CA, извините, он либо знает, что делает, либо идиот.

Не верите мне, вот цитата из документации по mitmproxy (аналог Fiddler для никсов):

This is where mitmproxy’s fundamental trick comes into play. The MITM in its name stands for Man-In-The-Middle - a reference to the process we use to intercept and interfere with these theoretically opaque data streams. The basic idea is to pretend to be the server to the client, and pretend to be the client to the server, while we sit in the middle decoding traffic from both sides. The tricky part is that the Certificate Authority system is designed to prevent exactly this attack, by allowing a trusted third-party to cryptographically sign a server’s certificates to verify that they are legit. If this signature doesn’t match or is from a non-trusted party, a secure client will simply drop the connection and refuse to proceed. Despite the many shortcomings of the CA system as it exists today, this is usually fatal to attempts to MITM a TLS connection for analysis. Our answer to this conundrum is to become a trusted Certificate Authority ourselves. Mitmproxy includes a full CA implementation that generates interception certificates on the fly. To get the client to trust these certificates, we register mitmproxy as a trusted CA with the device manually.

Ответить
Развернуть ветку
color

С fiddler так и есть, подмена сертификата на его для просмотра https.

Ответить
Развернуть ветку
Ivan Pogoreloff

Так о чем и речь. Иначе никак в трафик не пробиться. И вся эта возня - ах, хаксоры перехватят и все увидят - бред сивой кобылы в лунную ночь. А стенания автора на тему "нет пиннинга" вообще непонятно к чему - все, что дает пиннинг - защита трафика от вот таких вот "секурити экспердов".

Ну да ладно, пипл схавал, удар репутации в глазах масс нанесен, а "стюдент" собирает результаты на специально созданном сайте https://fennikami.cf Жду от него разоблачений метрики, там вообще можно весь рунет спалить.

Ответить
Развернуть ветку
Серж Заяц

он уже обещал и другие разоблачения))) серт пинниг скорее от реверса, чтобы атаку MITM было чуть сложнее реализовать :)

Ответить
Развернуть ветку
137 комментариев
Раскрывать всегда