Apple per Iphone, ogni tocco è fatale

Sapevamo già che alcune app, registrano ogni movimento e ogni singolo tocco e posizione del dito dell’utente sullo schermo.

Fare il “replay” delle sessioni è utile sia per il marketing e per il commercio, ma chi usa l’app dovrebbe essere cosciente di quel che accade.
Alcune app tengono conto di qualsiasi interazione o movimento dell’utente all’interno dell’app, senza fornire nessuna specifica indicazione all’utente di quanto avviene a loro insaputa.

Lo riferisce il sito TechCrunch che ha individuato in alcune app , un sistema di analytics, consentendo agli sviluppatori di riprodurre tutto ciò che l’utente ha fatto.

Questo meccanismo, denominato  “replay delle sessioni” consente agli sviluppatori di studiare il comportamento degli utilizzatori, studiare l’app e garantirne sempre il funzionamento corretto.

Qualsiasi tocco (tap), pressione di pulsanti virtuali e anche quanto digitato sulla tastiera, può esseare registrato e inviato agli sviluppatori.

Glassbox, in un recente tweet, scrive:

“Immaginate se il vostro sito web o la vostra app mobile potesse vedere in tempo reale quello che l’utente fa esattamente e perché lo fa”.

App Analyst, esperti nel settore mobile, recentemente hanno analizzato varie app sul blog omonimo.

Si è scoperto che diverse app per iPhone, non mascherano correttamente il replay della sessione prima della spedizione dei dati, mettendo a rischio il numero di passaporto e dati della carta di credito.

A rischio circa 20.000 diversi profili, con numerose denunce da parte degli utenti.
Nessuna delle app ha indicato all’utente la registrazione in corso dell’attività sullo schermo, consentendo l’invio di questi dati direttamente alle aziende o al cloud di Glassbox

Questo comportamento potrebbe portare a problemi se i clienti non maschererannk correttamente i dati, ha spiegato il consulente di App Analyst con una mail:

“Poiché i dati vengono spesso rimandati ai server , non sarei sorpreso se questi fossero già in possesso di istanze catturate con dati sensibili quali informazioni bancarie e password”

App Analyst riferisce che, altre app quali quelle di: Expedia e Hotels.com, catturano i dati e inviano le sessioni su server legati ai loro domini.

I dati in questione sono “per lo più offuscati” ma in alcuni casi è possibile individuare indirizzi di posta elettronica e codici di avviamento postale.
Le app inviate dagli sviluppatori per la pubblicazione sull’App Store, devono rispettare specifiche regole sulla privacy (ne abbiamo discusso qui, e sopratutto a che cosa si va incontro se si sbaglia) specialmente quando si tratta di Apple.

Nessuna delle app esaminate da TechCrunch indica chiaramente le policy in materia di privacy e riferisce la registrazione dell’attività sullo schermo.

Quindi il servizio proposto agli sviluppatori per “guardare le sessioni utente, incluse tutte le gesture e gli eventi attivati”, rispetta tale protocollo.

Non sono solo le app a vedere tutto quello che l’utente fa ma anche sul web, molti siti, utilizzano software di terze parti per seguire i movimenti degli utenti, compreso ciò che è digitato.

Questo tipo di servizi sono in grado di raccogliere informazioni e che non sono necessariamente utili agli sviluppatori.

In teoria potrebbero essere sfruttati da terze parti per raccogliere dati sensibili quali: condizioni di salute, carte di credito e altri dati personali.

L’Università di Princeton tempo addietro si è occupata del fenomeno e sottolineano che:

..questi servizi attivano meccanismi che consentono ai software di comportarsi come se fossero “sempre dietro di noi”, con tutto ciò che ne consegue.