Приложение Burger King шпионит за пользователями. Но не только оно!

Пользователь порталов «Хабр» и «Пикабу» опубликовал мини-расследование о том, как приложение Burger King шпионит за пользователями. В компании ответили, что занимаются «аналитикой», а персональные данные покупателей к ним не попадают. На самом деле, в корпорации не говорят всей правды: ученые из американского  Northeastern University уличили партнера Burger King — компанию AppSee — в пособничестве в утечках персональных данных, и там признали вину.

Утром 12 июля пользователь под ником Nikki Mikami выложил на форумах «Хабр» и «Пикабу» пост, в котором обвинял создателей мобильного приложения Burger King в шпионаже за пользователями.

«Шпионское приложение» Burger King

Nikki Mikami анализировал трафик на своем телефоне и заметил, что когда он запускает приложение Burger King, то оно записывает все, что происходит на экране, причем делает это постоянно. Затем эти данные программа пересылает на сервер партнера ресторанов быстрого питания — компании AppSee. По словам Nikki Mikami, запись не останавливалась даже в те моменты, когда пользователи вводили данные своей кредитки, чтобы заказать бургер.

Спустя несколько часов автор разоблачения разместил у себя на сайте скрин переписки с человеком, представившимся сотрудником SMM-подразделения Burger King (оригинальные орфография и пунктуация сохранены):

«Вот честное слово

Мы уже сто раз объясняли что это аналитика Appsee, она ****** (очень) какая дорогая (настолько что вам не хватит денег даже на месяц ее оплаты) и все кредитки закрыты у нас черным прямоугольником

Если вы адекватный человек, пишите на zhenya@burgerking.ru, и я сам вам покажу видео (админку не покажу)

Если вы дебил, то идите ***** (далеко) и не ******* (говорите напрасно) про нашу аналитику ничего».

Через некоторое время пресс-служба Burger King представила официальную позицию:

«Наше приложение действительно подключено к одной из самых известных во всем мире и защищенных аналитических платформ — AppSee, которая позволяет выявлять технические проблемы и другие «узкие» места в работе приложения. То есть это техническая надстройка, которая позволяет программистам определять, какой блок мобильного приложения следует улучшать для более удобной и бесперебойной работы.

Эта система не имеет ничего общего со сбором персональных данных. Более того, ни мы, ни специалисты AppSee не видят персональных данных (они приходят на сервер в обезличенном виде).

Сам сервис не записывает данные банковских карт и наш эквайринг («Яндекс.Касса») не передает нам данные банковских карт. Никто, включая AppSee, не может видеть подобных данных, так как они программно зашифрованы и скрыты в видео черными полосками».

Приквел из США

Представители Burger King, публикуя официальный ответ на претензию, часть правды от публики утаили. Их партнер — «одна из самых защищенных аналитических платформ — AppSee» — неделю назад оказался в центре аналогичного шпионского скандала в США.

6 июля исследователи из бостонского Северо-Восточного университета (Northeastern University) опубликовали работу под названием Panoptispy (panoptic — «всевидящий», spy — «шпион»).

Они изучали приложения для платформы Android — проверяли, шпионят ли те за пользователями, и если да, то как. Исследователи выбрали 17 260 приложений  для Android, которые можно было скачать из четырех разных магазинов: Google Play, AppChina, Mi.com и AnZhi.

Как выяснилось, ни одно из приложений не активировало микрофон без уведомления пользователя — так ученые опровергли миф о том, что смартфоны могут тайно подслушивать пользователей, чтобы использовать полученную информацию для продажи рекламы.

А вот камеру задействовала значительная часть приложений — около девяти тысяч. Подавляющее большинство программ запрашивало у пользователя разрешение еще при установке, а потом просто использовало это право.

Однако 33 приложения в выборке собирали данные со смартфонов тайно — при помощи встроенного в них кода AppSee.

Компания AppSee занимается тем, что собирает с телефонов пользователей информацию и отправляет ее своим клиентам, чтобы те разобрались, в какие моменты их приложение начинает допускать сбои.

В AppSee исходили из того, что клиенты поведут себя добросовестно и будут указывать, в каких случаях должна включаться запись происходящего на экране. Но, как выяснили исследователи из Northeastern University, так поступили только пять из 33 заказчиков AppSee. Другие не ставили никаких условий, и запись начиналась, как только пользователь активировал приложение.

Ученые пришли к выводу, что в AppSee фактически переложили всю ответственность на клиентов — те могли либо собирать всю информацию о пользователях, либо добровольно отрезать себя от части сведений.

Главным фигурантом скандала из числа клиентов AppSee стала компания GoPuff, которая занимается доставкой товаров по США (в основном мороженого). Они точно так же, как Burger King у нас, не просто получали наборы снимков экрана, а записывали при помощи AppSee полноценные видеоролики.

GoPuff, как только с ними связались исследователи из Northeastern University, признали собственную ошибку, изменили политику конфиденциальности и на всякий случай отказались от использования AppSee в обновлениях программы.

В AppSee признали проблему, но переложили вину на GoPuff: «Мы не можем контролировать данные, которые мы получаем от наших клиентов. В этом конкретном случае технология AppSee была неправильно использована клиентом, и условия договора оказались нарушены».

Потенциал для утечек

AppSee — это израильский стартап, который появился в 2012 году. Спустя год его основателям удалось привлечь первые серьезные инвестиции — миллион долларов в компанию вложили израильский венчурный фонд Giza VC и бизнес-ангел Моше Лихтман. В 2014-м к ним присоединился российский венчурный фонд Flint Capital.

Среди клиентов AppSee — более десятка крупных мировых корпораций. В России самые узнаваемые — это Gett, eBay и Samsung.

Сообщая о «проблеме AppSee», авторы исследования Panoptispy также советуют пользователям быть осторожнее с приложениями для обработки фотографий. Многие из них не раскрывают того, что пересылают снимки себе на сервер, когда пользователь загружает их для обработки — у него может сложиться ощущение, что вся работа проходит только у него на телефоне, а это не так.

Среди приложений, уличенных в использовании такого трюка, — некогда крайне популярная в России Prisma. Кроме нее — FaceApp и InstaBeauty — Makey Selfie Cam.

История же с Burger King и AppSee в России может получить продолжение. К ней подключился Роскомнадзор.

«Роскомнадзор в четверг, 12 июля, направил в ООО «Бургер Рус» официальный запрос о предоставлении информации в связи с публикациями в СМИ и сети интернет о возможной записи приложением «Бургер Кинг» экранов мобильных устройств, на которых в этот момент демонстрировались персональные данные пользователей», — сказал представитель ведомства агентству РИА Новости.