騰訊科技訊 最近,蘋果FaceTime影片聊天工具發生了“竊聽”安全醜聞,甚至引發了美國國會的關注。據外媒最新消息,iOS再次出現了安全問題,據一份新的報告顯示,許多流行的iOS軟體會錄製用戶的螢幕操控過程,螢幕錄製過程並未獲得蘋果設備用戶的同意。
根據科技媒體TechCrunch的調查,數據分析公司Glassbox和其他類似公司,會讓一些iOS APP開發客戶在各自的應用程式中嵌入所謂的“會話重放”技術(通過名為“Glassbox SDK”的開發工具)。
這些工具捕獲螢幕截圖和用戶互動過程,包括螢幕上的點擊和某些情況下的鍵盤操控,這些內容將發送回應用程式開發人員或Glassbox伺服器進行進一步檢查。
報告說,雖然不像iOS 12內置的支持影片的螢幕錄製功能那樣精巧,但會話重播技術實際上是在關鍵時刻截屏應用程式的用戶界面,以確定它是否按設計運行。
Glassbox的一位發言人告訴科技媒體稱:“Glassbox具有以可視格式重建移動應用程式視圖的獨特能力,這是另一種分析視圖,Glassbox SDK只能與我們的客戶本地應用程式互動,在技術上不能打破應用程式的邊界。更具體地說,當鍵盤覆蓋顯示在應用程式之上時,Glassbox無法訪問它。”
Glassbox的客戶包括像Abercrombie??Fitch這樣的大公司和姐妹品牌Hollister、Hotels.com、Expedia、AirCanada和新加坡航空公司。
雖然用戶監控並不是什麽新鮮事,而且在許多情況下都應該這樣做,但是對會話重放的錯誤處理可能會導致敏感資訊的泄漏。
TechCrunch援引一份報告指出,加拿大航空公司的應用程式被發現發送了包含護照和信用卡號碼的會話重播數據。這可能是個問題,因為一些公司選擇將應用程式數據直接發送到Glassbox的雲服務,而不是自己的伺服器。
科技媒體研究發現,發送到Glassbox的數據“大部分是模糊的”,儘管一些螢幕截圖包含了被屏蔽的電子郵件地址和郵政編碼。據悉,這一研究使用了中間人軟體來監控從目標應用程式發送的數據。
在上面列出的應用程式中,Abercrombie??Fitch、Hollister和新加坡航空公司將會話重播數據傳遞給Glassbox,而Hotels.com和Expedia則在各自的伺服器上屏蔽數據。
此外,媒體調查發現,被調查的應用程式都沒有在各自的隱私政策中明確表示Glassbox技術被用來記錄用戶的螢幕。
由於公司並未在蘋果規定的資訊披露中提及用戶監控,而且Glassbox本身也缺乏自己的要求,最終用戶基本上不知道自己的行為正受到如此密切的觀察。然而,更令人擔憂的是,iOS應用程式製造商在某些情況下,在沒有明確用戶許可和沒有適當的加密協定的情況下,將敏感數據洩露給第三方。(騰訊科技審校/承曦)
香港九龍灣馬來街興發大廈15樓D室