Nada é tão perturbador quanto descobrir que as coisas que fazemos em nossos telefones não são privadas — mesmo que nos lembrem regularmente que nada é sagrado. Na quarta-feira (6), uma investigação do TechCrunch revelou que apps que usam uma ferramenta de análise de uma empresa chamada Glassbox não estão apenas registrando as minúcias de como você os utiliza, mas também colocando em risco dados confidenciais no processo.

O TechCrunch relata que vários apps populares para iOS, incluindo Hotels.com, Expedia e Abercrombie & Fitch, coletam clandestinamente informações sobre exatamente o que os usuários estão fazendo usando a tecnologia de “repetição de sessão” da Glassbox.

Isso permite que os desenvolvedores examinem possíveis problemas que os usuários podem encontrar no aplicativo, gravando o que o usuário está fazendo em um nível granular, escreve o TechCrunch. Ao mesmo tempo, isso também coloca em risco as informações do usuário. Elas poderiam ser obtidas por agentes mal-intencionados se informações confidenciais contidas nos replays da sessão não estiverem efetivamente mascaradas.

A questão foi sinalizada por um pesquisador conhecido como App Analyst, que relatou que as capturas de tela feitas pela Air Canada — que usa o Glassbox — capturavam senhas e outras informações confidenciais do usuário, mas não conseguiam proteger os dados corretamente. O TechCrunch trabalhou com o App Analyst na auditoria dos aplicativos de alguns dos clientes conhecidos da Glassbox, e as descobertas não foram muito tranquilizadoras:

Nem todo aplicativo estava vazando dados mascarados; nenhum dos aplicativos que examinamos dizia que eles estavam gravando a tela do usuário, muito menos enviando as gravações para as empresas ou diretamente para a nuvem da Glassbox.

Isso pode ser um problema se qualquer um dos clientes da Glassbox não estiver mascarando os dados corretamente, disse ele em um e-mail. “Como esses dados costumam ser enviados de volta para os servidores da Glassbox, eu não ficaria chocado se eles já tivessem capturado informações e senhas bancárias confidenciais”, dizele.

Entramos em contato com a Glassbox para comentários e atualizaremos esta postagem se obtivermos uma resposta.

Como observou o App Analyst em seu artigo sobre o aplicativo móvel da Air Canada, ele tenta usar caixas pretas para ocultar informações confidenciais do usuário, o que significa que “reconhece implicitamente que vários campos do aplicativo contêm dados confidenciais e que esses dados não deveriam ser capturados em screenshots”.

Mas esses sistemas às vezes falham e senhas, dados de pagamento e outras informações são capturados em gravações de tela. Se essas capturas de tela forem armazenadas, isso pode ser um sério problema de segurança.

Como a 9to5Mac observou, serviços como o Glassbox já existem há algum tempo, mas a Apple não tomou nenhuma atitude sobre isso. Outras empresas que fornecem serviços similares mencionadas pelo TechCrunch incluem a UXCam e a Appsee. Embora eles possam fornecer um serviço útil para os criadores de aplicativos, ajudando a ajustar seus produtos, não pega bem o fato de não contar a seus usuários que eles estão gravando a tela em todos os seus movimentos.

[TechCrunch]