Une nouvelle enquête de TechCrunch révèle aujourd’hui que certaines programs Apple iphone utilisent des companies comme Glassbox, une « société d’analyse de l’expérience shopper » pour suivre les clics et les balayages que vous effectuez. Des applications telles que Hollister, Air Canada, Expedia et Resorts.com utilisent ce cadre et, dans certains cas, révèlent par inadvertance des informations sensibles.
Glassbox est l’une des sociétés dites d’analyse qui utilisent la « technologie de relecture de session ». Cela permet aux développeurs d’enregistrer les affichages et d’examiner la façon dont les utilisateurs ont interagi avec leur application. « Chaque pression, pression sur un bouton et entrée au clavier est enregistrée », explique TechCrunch.
Ces rediffusions de session permettent aux développeurs d’applications d’enregistrer l’écran et de les relire pour voir remark les utilisateurs ont interagi avec l’application afin de déterminer si quelque chose n’a pas fonctionné ou s’il y a eu une erreur. Chaque pression, pression sur un bouton et entrée au clavier est enregistrée – effectivement capturée – et renvoyée aux développeurs de l’application.
Dans un tweet récent, Glassbox a dit : « Imaginez si votre web page World wide web ou votre software cellular pouvait voir exactement ce que font vos customers en temps réel et pourquoi ils l’ont fait ?
Furthermore loin, L’analyste d’applications a récemment découvert que l’application Iphone d’Air Canada ne masque pas correctement les rediffusions de sessions. Cela signifie que les informations sensibles telles que les numéros de passeport et les informations de carte de crédit sont facilement consultables par les employés d’Air Canada. Même si ce n’est pas le cas pour toutes les programs, Air Canada a récemment subi une violation de données affectant 20 000 profils d’utilisateurs, ce qui n’augure rien de bon pour ses pratiques de sécurité.
Dans certains cas, les programs renvoient les données de relecture de session directement aux serveurs Glassbox, tandis que certaines entreprises les renvoient à leurs propres serveurs. Dans les deux cas, certaines données ont été retrouvées non masquées et facilement accessibles grâce aux outils de l’homme du milieu :
L’analyste d’applications a déclaré que si Hollister et Abercrombie & Fitch envoyaient leurs rediffusions de session à Glassbox, d’autres, comme Expedia et Lodges.com, avaient choisi de capturer et de renvoyer les données de rediffusion de session à un serveur sur leur propre domaine. Il a déclaré que les données étaient « pour la plupart obscurcies », mais qu’il a vu dans certains cas des adresses e-mail et des codes postaux. Le chercheur a déclaré que Singapore Airlines avait également collecté des données de relecture de session, mais les avait renvoyées vers le cloud de Glassbox.
TechCrunch désigne des applications telles qu’Air Canada, Hollister, Expedia, Abercrombie & Fitch, Resorts.com et Singapore Airlines comme contrevenants. Aucun d’entre eux ne mentionne l’utilisation de la technologie de relecture de session dans sa politique de confidentialité et seul Abercrombie a répondu lorsqu’on lui a demandé plus de détails. Abercrombie a déclaré que l’utilisation de Glassbox « contribue à offrir une expérience d’achat fluide, nous permettant d’identifier et de résoudre tous les problèmes que les customers pourraient rencontrer dans leur expérience numérique ».
L’utilisation de frameworks d’analyse d’enregistrement d’écran sur iOS n’est pas nécessairement une nouveauté. Les développeurs qui les utilisent ne peuvent voir que l’intérieur de leurs applications, et non l’intégralité du système d’exploitation. Apple n’a pas encore réprimé l’utilisation de tels frameworks, mais nous ne serions pas surpris si cela se produisait bientôt.
L’enquête complète de TechCrunch peut être lu ici.
FTC : Nous utilisons des liens d’affiliation automatique générateurs de revenus. Plus.