人気iPhoneアプリが裏で録画していたことが判明、カード番号や仮想キーのタップ情報など
この記事にはアフィリエイト広告・広告が含まれています。
TechCrunchは2月7日、Air CanadaやExpediaなど多くの大手企業が提供しているiPhoneアプリでタップやスワイプを行った画面操作情報がユーザーに通知することなく録画されていることがわかったと報じました。
人気iPhoneアプリが裏で録画していたことが判明
TechCrunchによれば、バッググラウンドでユーザーが行った操作などデータを収集していたのはホテルや旅行サイト、旅行会社、携帯事業者、銀行、金融会社など人気のあるアプリだったとしています。
Abercrombie&Fitch、Hotels.com、Singapore Airlinesなどのアプリでは「セッション再生技術」を組み込むためのツール「Glassbox」を使用しています。
同ツールのセッションリプレイ機能を使うことでアプリ開発者は画面の内容を記録して再生、ユーザーがアプリで行った操作やエラーの内容を確認できます。
その範囲は全てのタップ、物理ボタン、物理・仮想のキーボード入力といった内容がアプリ開発者に送信されます。
TechCrunchは「Glassbox」が投稿したツイートを取り上げ(同メディアはアーカイブとして保存しているようです。)、彼らが顧客に対して「ユーザーの動向がリアルタイムで、正確にわかるとしたら」といった今回のような内容を伝えています。
Imagine if your website or mobile app could see exactly what your customers do in real time, and why they did it? This is no longer a hypothetical question, but a real possibility. This is Glassbox. Experience it for yourself: https://t.co/E3uXcr0Gjf pic.twitter.com/9cJ40xbSaI
— Glassbox (@GlassboxDigital) 2018年10月16日
モバイル専門家のApp Analystは先日、Air CanadaのiPhoneアプリ がユーザーのセッション内容を適切に保護しておらず、パスポート番号とクレジットカードデータのスクリーンショットが閲覧できる状態で送信されていることを指摘しています。
Air Canadaは昨年2万人の個人情報をアプリから漏洩させています。
その件から、TechCrunchはApp AnalystにGlassbox利用アプリのサンプル調査を依頼したようです。同氏はアプリからサーバへ転送される情報を傍受・解析する中間ツールCharles Proxyを使用して、どのようなデータが端末から送信されているのか調査したようです。
その結果、全てのアプリがパスワードのマスキング(黒く塗りつぶす)などの処理を施しているかわからないものの多くのアプリは適切に行われていたようです。
Glassboxは顧客の誰かが適切にマスキングしていない場合、それは問題になるがデータはほとんど難読化されていると同メディアに回答しています。
また、データの送信先についてはHollisterとAbercrombie&FitchがGlassboxのサーバに送信、ExpediaやHotels.comは自社ドメインを持つサーバー宛に送信していることがわかりました。
Glassbox以外のサーバーにあるデータについて難読化の有無は確認できません。
ユーザーに知らされていないという事実
今回の問題はGlassboxを使って操作情報をリアルタイムで送信されていることをユーザーに通知していないことだと同メディアは指摘しています。
このGlassbox利用についてAppleやユーザーから特別な許可を得なければならないという法律や規則はないようで、このことからもユーザーが知ることはできないようです。
同メディアが各社のプライバシーポリシーを確認したところ、各社の文書には1行でも言及している箇所はなかったそうです。
Glassboxの他にも存在する
このセッション監視ツールはGlassboxだけではなく、AppseeやUXCamなどがあり、特定のページだけトリガーで録画を開始するものから、全てのジェスチャーを記録するタイプまで存在します。
企業がカスタマーサポートを充実させたり、改善点を見つけるためなど良い点もありますが顧客情報を転送する前にマスキングや難読化を施すよう改善が望まれます。
Source:TechCrunch
