人気iPhoneアプリが裏で録画していたことが判明、カード番号や仮想キーのタップ情報など

公開日: : ニュース ,

TechCrunchは2月7日、Air CanadaやExpediaなど多くの大手企業が提供しているiPhoneアプリでタップやスワイプを行った画面操作情報がユーザーに通知することなく録画されていることがわかったと報じました。

Security-20190207

人気iPhoneアプリが裏で録画していたことが判明

TechCrunchによれば、バッググラウンドでユーザーが行った操作などデータを収集していたのはホテルや旅行サイト、旅行会社、携帯事業者、銀行、金融会社など人気のあるアプリだったとしています。

Abercrombie&Fitch、Hotels.com、Singapore Airlinesなどのアプリでは「セッション再生技術」を組み込むためのツール「Glassbox」を使用しています。

同ツールのセッションリプレイ機能を使うことでアプリ開発者は画面の内容を記録して再生、ユーザーがアプリで行った操作やエラーの内容を確認できます。

その範囲は全てのタップ、物理ボタン、物理・仮想のキーボード入力といった内容がアプリ開発者に送信されます。

TechCrunchは「Glassbox」が投稿したツイートを取り上げ(同メディアはアーカイブとして保存しているようです。)、彼らが顧客に対して「ユーザーの動向がリアルタイムで、正確にわかるとしたら」といった今回のような内容を伝えています。

モバイル専門家のApp Analystは先日、Air CanadaのiPhoneアプリ がユーザーのセッション内容を適切に保護しておらず、パスポート番号とクレジットカードデータのスクリーンショットが閲覧できる状態で送信されていることを指摘しています。

Air Canadaは昨年2万人の個人情報をアプリから漏洩させています。

その件から、TechCrunchはApp AnalystにGlassbox利用アプリのサンプル調査を依頼したようです。同氏はアプリからサーバへ転送される情報を傍受・解析する中間ツールCharles Proxyを使用して、どのようなデータが端末から送信されているのか調査したようです。

その結果、全てのアプリがパスワードのマスキング(黒く塗りつぶす)などの処理を施しているかわからないものの多くのアプリは適切に行われていたようです。

Glassboxは顧客の誰かが適切にマスキングしていない場合、それは問題になるがデータはほとんど難読化されていると同メディアに回答しています。

また、データの送信先についてはHollisterとAbercrombie&FitchがGlassboxのサーバに送信、ExpediaやHotels.comは自社ドメインを持つサーバー宛に送信していることがわかりました。

Glassbox以外のサーバーにあるデータについて難読化の有無は確認できません。

ユーザーに知らされていないという事実

今回の問題はGlassboxを使って操作情報をリアルタイムで送信されていることをユーザーに通知していないことだと同メディアは指摘しています。

このGlassbox利用についてAppleやユーザーから特別な許可を得なければならないという法律や規則はないようで、このことからもユーザーが知ることはできないようです。

同メディアが各社のプライバシーポリシーを確認したところ、各社の文書には1行でも言及している箇所はなかったそうです。

Glassboxの他にも存在する

このセッション監視ツールはGlassboxだけではなく、AppseeやUXCamなどがあり、特定のページだけトリガーで録画を開始するものから、全てのジェスチャーを記録するタイプまで存在します。

企業がカスタマーサポートを充実させたり、改善点を見つけるためなど良い点もありますが顧客情報を転送する前にマスキングや難読化を施すよう改善が望まれます。

Source:TechCrunch

よく一緒に閲覧される記事

TikTokアプリ、パスワードやカード情報も含めたユーザー監視が明らかに

TikTokアプリ内のブラウザを開くとパスワードやクレジット

最大30%OFF、任天堂「Nintendo Switch サマーセール」を8/1開催へ(値引き前後の価格リスト)

任天堂は8月1日からマイニンテンドーストアおよびニンテンドー

Google社員「AIが死を恐れている」と会話を公開、休職処分に

GoogleエンジニアであるBlake Lemoine氏が先

→もっと見る

PAGE TOP ↑