Sok nagy cég iPhone-appja a felhasználók minden tevékenységét rögzíti az appon belül, és erről a legtöbb esetben a felhasználóknak fogalmuk sincs, mert még csak az engedélyükre sincs szükség ehhez – vette észre a Techcrunch.

A lap hotelek, utazással foglalkozó cégek, légitársaságok, bankok és mobilszolgáltatók appjainál is azt tapasztalta, hogy nem kérnek felhasználói engedélyt az ilyen jellegű adatgyűjtéshez, illetve nem teszik világossá azt. Ráadásul némelyik szándékolatlanul még veszélynek is teszi ki a felhasználóit, mert érzékeny adatokat továbbítanak sebezhető módon.

A vizsgált appok között volt az Air Canada, az Expedia, a Hotels.com, a Singapore Airlines, a Abercrombie & Fitch és a Hollister. Mindegyik a Glassbox nevű "felhasználóiélmény-elemző" cég szolgáltatásait veszik ehhez igénybe a fejlesztők az ő munkamenet-újrajátszó technológiájukat építik be az appjaikba. Ezzel rögzíthető, hogy a felhasználó mit csinál az adott appon belül, hova kattint, meddig görget, mit ír be, hogy a visszajátszásával a fejlesztők lássák, hol volt hiba, mi nem működik, mi népszerű, mit érdemes javítani.

Az App Analyst nevű mobilos szakértő korábban megírta az Air Canada appjáról, hogy ezeket a rögzített munkameneteket a cég nem takarta ki megfelelően, így azokban láthatók maradtak az útlevél- és bankkártyaszámok. Ezekhez így a cégen belül bárki hozzáférhetett – és nem csak ott: az Air Canada néhány héttel azelőtt jelentette be, hogy 20 ezer felhasználó adatait lopták el tőlük.

A Techcrunch megkérte ugyanezt a szakértőt, hogy ellenőrizzen néhány másik appot is a Glassbox partnerei közül, ő pedig megnézte, a kiválasztott appok milyen adatokat továbbítanak a felhasználóikról. Bár nem mindegyik küldött tovább érzékeny adatokat, azt egyik se jelezte a felhasználóinak, hogy rögzíti és továbbítja a tevékenységüket a Glassbox vagy a saját szervereire. Mivel se engedélyt nem kérnek, se az adatkezelési szabályzatuk apró betűs része nem szól erről, az adatok elemzése nélkül egyáltalán nem tudható ez a gyakorlat.

Maga a munkamenet rögzítése és elemzése (angolul session replay) egyáltalán nem illegális tevékenység, más cégek – például az Appsee vagy a UXCam – is kínálnak ilyesmit; csak az ilyen jellegű adatgyűjtés átláthatóságával és biztonságosságával kapcsolatban merülnek fel komoly kételyek.

Jó példa volt erre az Air Canada fentebb említett adatlopásos esete mellett az is, hogy még 2017-ben a Mixpanel nevű cég egy hiba miatt nem takart ki bizonyos mezőket a felvételeken, ezért bár szándékolatlanul, de minden felhasználó jelszavát begyűjtötte.