天下烏鴉一樣黑!多款知名 iOS Apps 被揭偷錄用戶操作畫面

 2019-02-10     科技

蘋果在 CES 2019 舉行期間,於拉斯維加斯放出大型戶外廣告,以「What happens on your iPhone, stays on your iPhone」 標語,展示其保護隱私的賣點。只是始終改變不了「天下烏鴉一樣黑」的定律,因剛有報告指多款知名 iOS apps 會在無預警下,偷錄用戶操作畫面,狠狠地摑了蘋果一巴!

據 TechCrunch 報道,他們發現客戶分析公司 Glassbox 向客戶提供的軟件開發套件(SDK)可以提供「重播」用戶在使用自家 App 時的屏幕操作畫面,今次涉及的 apps 更十分熱門,包括︰Hotels.com、A&F、Expedia、Singapore Airlines、Canada Air、A&F 等。

報道指,這些軟件會在用戶操作 App 時,錄製整個畫面並回傳,且沒有事先告知;用戶在 App 上點了哪些按鈕、輸入哪些資料,均會被 App 開發者記錄下來,據悉其錄製目的是查看用戶與 App 互動流程,並檢查是否有出現錯誤,或是在整個流程上是否還有改善空間。文章另直指其中 Canada Air 的流動程式會記錄護照號碼與信用卡資訊,若沒有好好保護這些重要私隱資料,外洩的機會極高。

TechCrunch 的報道一出後,引起甚大迴響。另一知名科技資訊網站 MacRumors 便向提供記錄用戶資訊的公司 Glassbox 查詢,並獲得官方回應如下︰

「Glassbox 以及我們的客戶並沒有興趣 『監視』 使用者,我們的目標是改善用戶的使用體驗和保護消費者資料;Glassbox 已經幫助了數以百萬計的使用者擁有更好的使用體驗,這些工具可以應用在記錄並分析用戶在網站上與 App 上的行動,幫助開發者用好地理解用戶的需求。TechCrunch 的報道引起大眾憂慮,但我們認為那篇報道並沒有真實反映 Glassbox 對用戶以及客戶產生的好處,也沒有提及我們在資安以及隱私保護上的努力。我們非常在意用戶的隱私和資料安全,Glassbox 亦為客戶提供許多工具來屏蔽個人資料,我們堅信我們的顧客應該都有明確的使用條款,消費者也應該都知悉。此外,Glassbox 蒐集到的資料並沒有分享給任何第三方或外部資源,Glassbox 符合最高的資安與隱私要求規範(如 SOC2、GDPR),所有被搜集到的資料都是高度安全而且加密的。」

雖然 Glassbox 鄭重聲明,只是面對蘋果施壓,開發商便不可能置諸不理。蘋果已就事件作出對策,要求涉及偷錄 App 的開發商移除這類分析、記錄程式碼,或在明顯的地方向用戶表示所有操作畫面會被錄製作改善操作體驗用途等信息。根了解,蘋果向開發者發出的警告信中,給與該開發者不到一天的時間去移除相關程式碼,並必須重新遞交 App Store 審核,否則將會予以下架。其實蘋果政策亦列明,若軟件有記錄用戶行為,必須要在屏幕左上角顯示紅色圖示,未知 Glassbox 是否只是一時忘記?!