Vários apps famosos gravam tela no iPhone sem usuário perceber

Você faz uma reserva de hotel ou compra em sua loja preferida, tudo via aplicativo. Depois descobre que essas ações foram registradas, quase como se alguém tivesse filmado o seu smartphone. Parece uma cena de Black Mirror, certo? Mas é um problema real: o TechCrunch revela que vários apps para iPhone de empresas renomadas, como Air Canada, Hollister e Expedia, “espionam” os usuários.

• Google tira da Play Store 29 apps de beleza por roubo de fotos e phishing
• Hackers vazam 2,2 bilhões de logins e senhas na internet; veja se você foi afetado

Tudo começa com a Glassbox, empresa de análise de experiência do usuário. Em seu site, é possível encontrar a seguinte frase (em tradução livre): “imagine se o seu site ou app móvel pudesse visualizar exatamente o que os seus clientes fazem em tempo real e por que fizeram isso?”. Não é exagero, a companhia oferece mesmo esse tipo de serviço.

Trata-se de uma técnica de replay de sessão. O aplicativo que tem esse tipo de recurso grava a tela do usuário e reproduz as ações executadas. Assim, os desenvolvedores podem analisar como os usuários interagem com o app. É uma forma de descobrir, por exemplo, se existe uma falha de design ou algo que pode ser ajustado na interface para melhorar a experiência de uso.

Várias companhias usam a tecnologia de replay de sessão da Glassbox, como Abercrombie & Fitch, Hotels.com, Singapore Airlines e as já mencionadas Air Canada, Hollister e Expedia. O problema é que, se não todas, boa parte dessas empresas não informa nos termos de uso que as ações do usuário no aplicativo podem ser gravadas e enviadas a servidores próprios ou à Glassbox.

Para piorar, alguns aplicativos não ocultam dados sensíveis do usuário nas gravações. O site The App Analyst usou uma ferramenta de man-in-the-middle (para intercepção de dados) e descobriu que nem todos os aplicativos mascaram devidamente campos com dados sensíveis do usuário nas capturas.

Como mostra o vídeo abaixo, isso aconteceu com o app da Air Canada. Embora a ferramenta tente ocultar campos para dados como número de passaporte, cartão de crédito e senhas por meio de tarjas pretas, essa proteção falha frequentemente.

A pior parte é que o usuário não faz ideia de que suas ações com o aplicativo estão sendo gravadas. Não existes avisos no app, notificações no sistema ou alertas sonoros — o software da Glassbox não requer nenhuma permissão especial para funcionar no iOS.

Todas as companhias mencionadas foram procuradas pelo TechCrunch, mas só duas responderam. A Abercrombie, que também representa a Hollister, confirmou que usa a tecnologia da Glassbox com o intuito de “identificar e resolver quaisquer problemas que os clientes possam encontrar em sua experiência digital”.

Já a Air Canada explicou que utiliza as informações dos clientes para dar apoio às suas necessidades de viagem e garantir que a empresa possa resolver quaisquer problemas. “No entanto, a Air Canada não captura informações fora do seu aplicativo”, diz a parte final da nota.

Frequentemente, o app da Air Canada falha em ocultar dados sensíveis

Mas isso não é suficiente. Além de dados sigilosos de usuários ficarem à disposição de funcionários, existe o perigo latente de que essas informações vazem em um possível ataque.

A própria Air Canada passou por isso recentemente: em agosto de 2018, dados de 20 mil clientes da companhia vazaram por conta de uma falha em seu aplicativo móvel. Aparentemente, o episódio não teve relação com a tecnologia da Glassbox, mas o que garante que não vai ser diferente em possíveis incidentes no futuro?

Dada a gravidade do assunto, é um tanto surpreendente a Apple não ter intervido, até porque a Glassbox não está sozinha nessa: empresas como UXCam e Appsee também trabalham com tecnologias de replay de sessão.

Leia | O que é um spyware?