Se a sensação de segurança dos usuários do iOS diminuiu após aplicativos do sistema móvel da Maçã roubarem e monetizarem dados dos seus clientes, agora a situação piorou: diversos apps têm registrado (e gravado) tudo o que usuários fazem na tela do dispositivo sem a devida permissão, como informou o TechCrunch.
Na maioria das vezes, esses softwares pertecem a grandes empresas americanas, como Abercrombie & Fitch, Hotels.com, Expedia, Hollister, entre outras. Ao analisar como esses apps conseguiam gravar a tela de dispositivos iOS, o TechCrunch notou que todos usavam os serviços da israelense Glassbox, uma empresa de análise de experiência do cliente.
A Glassbox explicitamente divulga que o seu método invasivo de análise de experiência do cliente envolve gravações de tela dos apps dos seus clientes. O session replay, como é chamado, envia os registros para o servidor da Glassbox que, em seguida, analisa-os para ver como os usuários interagem com determinados aplicativos.
De acordo com a App Analyst, empresa especializada em segurança digital, nem todos os apps que utilizam o kit de desenvolvimento de software da Glassbox revelam os dados pessoais dos usuários (na maioria das vezes, essas informações são ofuscadas automaticamente). Não obstante, há casos em que o endereço residencial e email dos clientes estão visíveis.
No caso do app Air Canada (maior companhia aérea do país) isso é ainda mais grave, conforme apontou a App Analyst. Isso porque a empresa não mascara as informações pessoais inseridas pelos usuários, como números de passaporte e informações de cartão de crédito — assim, os funcionários que possuem acesso às filmagens podem ver esses dados quando e quantas vezes quiserem. 😳
Como esses dados costumam ser enviados de volta para os servidores da Glassbox, eu não ficaria chocado se eles já tivessem capturado informações e senhas bancárias confidenciais.
Como o TechCrunch destacou, todos os apps possuem uma política de privacidade mas nenhum deles deixa claro que a tela do dispositivo será gravada durante o uso (sabe-se lá se a todo instante, também). Entre as empresas citadas, somente Abercrombie e Air Canada explicaram o uso do session replay, afirmando que o recurso da Glassbox “ajuda a suportar uma experiência de compra perfeita, permitindo identificar e resolver quaisquer problemas que os clientes possam encontrar em sua experiência digital”.
A Glassbox, por sua vez, afirmou que não requer permissão especial da Apple ou do usuário para gravar a tela; ou seja, sem verificar as informações de um software, não há como saber se ele está de fato capturando as informações da sua tela. No geral, essa prática é realizada por diversos desenvolvedores não só no iOS, mas na web e outras plataformas móveis.
Independentemente disso, o fato é que essa é uma forma de invasão de privacidade e a Apple ainda precisa delimitar (ou reprimir) o uso de tais recursos. Portanto, não fiquem surpresos se a Maçã tomar alguma ação nesse sentido nos próximos dias, dado a repercussão do caso.
Atualização, por Rafael Fischmann 07/02/2019 às 20:05
A Apple rapidamente respondeu à polêmica. Em um email enviado ao TechCrunch, um porta-voz declarou:
Proteger a privacidade de usuários é prioritário no ecossistema Apple. Nosso Guia de Análise da App Store requer que apps solicitem consentimento explícito do usuário e ofereçam uma indicação visual clara quando estão gravando, registrando ou fazendo qualquer tipo de armazenamento da atividade do usuário.
Nós notificamos os desenvolvedores que estão violando esses termos e regras estritas de privacidade, e tomaremos ações imediatas se necessário.
A Apple deu um prazo de 24h para os desenvolvedores removerem esses códigos dos aplicativos e lhe enviarem updates, caso contrário eles serão removidos da App Store.