Vários apps famosos gravam tela no iPhone sem usuário perceber

Com tecnologia da Glassbox, aplicativos de empresas como Air Canada e Expedia gravam ações no iOS sem usuário notar

Emerson Alecrim
Por
• Atualizado há 2 anos
Air Canada - iPhone

Você faz uma reserva de hotel ou compra em sua loja preferida, tudo via aplicativo. Depois descobre que essas ações foram registradas, quase como se alguém tivesse filmado o seu smartphone. Parece uma cena de Black Mirror, certo? Mas é um problema real: o TechCrunch revela que vários apps para iPhone de empresas renomadas, como Air Canada, Hollister e Expedia, “espionam” os usuários.

Tudo começa com a Glassbox, empresa de análise de experiência do usuário. Em seu site, é possível encontrar a seguinte frase (em tradução livre): “imagine se o seu site ou app móvel pudesse visualizar exatamente o que os seus clientes fazem em tempo real e por que fizeram isso?”. Não é exagero, a companhia oferece mesmo esse tipo de serviço.

Trata-se de uma técnica de replay de sessão. O aplicativo que tem esse tipo de recurso grava a tela do usuário e reproduz as ações executadas. Assim, os desenvolvedores podem analisar como os usuários interagem com o app. É uma forma de descobrir, por exemplo, se existe uma falha de design ou algo que pode ser ajustado na interface para melhorar a experiência de uso.

Várias companhias usam a tecnologia de replay de sessão da Glassbox, como Abercrombie & Fitch, Hotels.com, Singapore Airlines e as já mencionadas Air Canada, Hollister e Expedia. O problema é que, se não todas, boa parte dessas empresas não informa nos termos de uso que as ações do usuário no aplicativo podem ser gravadas e enviadas a servidores próprios ou à Glassbox.

Para piorar, alguns aplicativos não ocultam dados sensíveis do usuário nas gravações. O site The App Analyst usou uma ferramenta de man-in-the-middle (para intercepção de dados) e descobriu que nem todos os aplicativos mascaram devidamente campos com dados sensíveis do usuário nas capturas.

Como mostra o vídeo abaixo, isso aconteceu com o app da Air Canada. Embora a ferramenta tente ocultar campos para dados como número de passaporte, cartão de crédito e senhas por meio de tarjas pretas, essa proteção falha frequentemente.

A pior parte é que o usuário não faz ideia de que suas ações com o aplicativo estão sendo gravadas. Não existes avisos no app, notificações no sistema ou alertas sonoros — o software da Glassbox não requer nenhuma permissão especial para funcionar no iOS.

Todas as companhias mencionadas foram procuradas pelo TechCrunch, mas só duas responderam. A Abercrombie, que também representa a Hollister, confirmou que usa a tecnologia da Glassbox com o intuito de “identificar e resolver quaisquer problemas que os clientes possam encontrar em sua experiência digital”.

Já a Air Canada explicou que utiliza as informações dos clientes para dar apoio às suas necessidades de viagem e garantir que a empresa possa resolver quaisquer problemas. “No entanto, a Air Canada não captura informações fora do seu aplicativo”, diz a parte final da nota.

Frequentemente, o app da Air Canada falha em ocultar dados sensíveis

Frequentemente, o app da Air Canada falha em ocultar dados sensíveis

Mas isso não é suficiente. Além de dados sigilosos de usuários ficarem à disposição de funcionários, existe o perigo latente de que essas informações vazem em um possível ataque.

A própria Air Canada passou por isso recentemente: em agosto de 2018, dados de 20 mil clientes da companhia vazaram por conta de uma falha em seu aplicativo móvel. Aparentemente, o episódio não teve relação com a tecnologia da Glassbox, mas o que garante que não vai ser diferente em possíveis incidentes no futuro?

Dada a gravidade do assunto, é um tanto surpreendente a Apple não ter intervido, até porque a Glassbox não está sozinha nessa: empresas como UXCam e Appsee também trabalham com tecnologias de replay de sessão.

Receba mais notícias do Tecnoblog na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.

Relacionados