10 oktober 2019 15:05 7 februari 2019 12:27

iPhone-apps betrapt op heimelijke schermopnames

De privacyschandalen volgen elkaar in snelvaart op en niemand blijft gespaard. Apple heeft ook hun aandeel gehad in de vorm van de lugubere Facetime-bug vorige week en een nieuwe kwestie die naar buiten is gekomen. Het blijkt namelijk dat verschillende apps zomaar schermopnames maakten zonder hiervan de gebruikers op de hoogte te brengen.

Het gaat onder andere om de grote luchtvaartmaatschappij Air Canada, Abercrombie & Fitch, Expedia en Hotels.com. Al die apps gebruikten gespecialiseerde software van Glassbox die ‘session replay’ aanbiedt, zodat ontwikkelaars kunnen zien wat gebruikers precies uitvoeren.

Het nieuws kwam naar buiten via TechCrunch. Het meest verontrustende aan de kwestie is echter dat het via deze manier ook mogelijk is om gevoelige informatie zoals kredietkaartgegevens te onderscheppen. De software van Glassbox biedt namelijk de optie om gevoelige informatie te maskeren, maar in de praktijk gebeurt dat niet altijd. Volgens The App Analyst, de onderzoeker die de informatie verstrekte aan TechCrunch, kunnen medewerkers van Air Canada – en iedereen die toegang heeft tot de database met screenshots – zo kredietkaartgegevens en wachtwoordinformatie bekijken.

De onderzoeker maakte gebruik van Charles Proxy, een man-in-the-middle tool waarmee hij de data die de app naar buiten stuurde kon onderscheppen en bestuderen. Sommige applicaties (zoals Hollister en Abercrombie & Fitch) stuurden de screenshots naar Glassbox, terwijl anderen (zoals Expedia en Hotels.com) de screenshots op een eigen server stockeerden.

Het meest frappante is dat gebruikers geen toestemming moesten verlenen hiervoor. Bovendien wordt in het privacybeleid van de onderzochte apps ook niet aangegeven dat er schermopnames worden gemaakt. Het zou echter niet mogelijk zijn om screenshots te maken buiten de desbetreffende apps.

Het gaat onder andere om de grote luchtvaartmaatschappij Air Canada, Abercrombie & Fitch, Expedia en Hotels.com. Al die apps gebruikten gespecialiseerde software van Glassbox die ‘session replay’ aanbiedt, zodat ontwikkelaars kunnen zien wat gebruikers precies uitvoeren.

Het nieuws kwam naar buiten via TechCrunch. Het meest verontrustende aan de kwestie is echter dat het via deze manier ook mogelijk is om gevoelige informatie zoals kredietkaartgegevens te onderscheppen. De software van Glassbox biedt namelijk de optie om gevoelige informatie te maskeren, maar in de praktijk gebeurt dat niet altijd. Volgens The App Analyst, de onderzoeker die de informatie verstrekte aan TechCrunch, kunnen medewerkers van Air Canada – en iedereen die toegang heeft tot de database met screenshots – zo kredietkaartgegevens en wachtwoordinformatie bekijken.

De onderzoeker maakte gebruik van Charles Proxy, een man-in-the-middle tool waarmee hij de data die de app naar buiten stuurde kon onderscheppen en bestuderen. Sommige applicaties (zoals Hollister en Abercrombie & Fitch) stuurden de screenshots naar Glassbox, terwijl anderen (zoals Expedia en Hotels.com) de screenshots op een eigen server stockeerden.

Het meest frappante is dat gebruikers geen toestemming moesten verlenen hiervoor. Bovendien wordt in het privacybeleid van de onderzochte apps ook niet aangegeven dat er schermopnames worden gemaakt. Het zou echter niet mogelijk zijn om screenshots te maken buiten de desbetreffende apps.