Массовые приложения iPhone тайно воруют личные данные миллионов людей

Фирменные приложения крупных компаний под Apple iOS без уведомления собирали личную информацию пользователей, включая пароли и данные банковских карт. Под угрозой оказались миллионы людей по всему миру.

Тотальная слежка за Apple-юзерами

Безопасность личных данных владельцев смартфонов Apple iPhone подверглась новой глобальной угрозе: в магазине App Store выявлены приложения, следящие буквально за каждым действием пользователя. По данным TechCrunch, информацию о людях со всего мира собирают не малоизвестные утилиты с околонулевым количеством скачиваний, а фирменные приложения крупных корпораций, включая авиакомпании, занимающиеся международными перелетами.

Вся информация собирается без предварительного уведомления и передается на сторонние серверы для дальнейшего анализа. Накопленная и обработанная, статистика затем используется для рекламы и продвижения новых услуг, которые могут заинтересовать пользователей.

Кто засветился

Общее количество приложений и владеющих ими компаний и сервисов еще подлежит уточнению. По состоянию на 7 февраля 2019 г. разоблачены лишь ритейлеры Abercrombie & Fitch и Hollister, приложение для путешествий Expedia, авиакомпания Air Canada, а также сайт бронирования отелей и гостиниц Hotels.com и еще одна авиакомпания – Singapore Airlines.

Touch ID и Face ID больше не способны уберечь ваши данные от кражи

В условиях использования соответствующих iOS-приложений журналисты TechCrunch не нашли ни намека на сбор персональных данных, так что никто из числа тех, на чьих iPhone установлено перечисленное ПО, не догадывался о слежке.

Что собирают

Приложения-шпионы, замаскированные под фирменное ПО, делают снимки экрана, отслеживают ввод данных при помощи клавиатуры, следят за касаниями к экрану, и делают они все это, в том числе, в фоновом режиме. Все приложения используют для этого сервис Glassbox, который дает возможность не только записывать все действия пользователя, но даже воспроизводить их повторно.

В чем опасность

Сбором статистики в том или ином виде занимаются многие разработчики и сервисы. К примеру, таргетированная реклама в социальных сетях и на других популярных ресурсах, основанная на личных интересах и предпочтениях пользователя, – это один из результатов подобной слежки.

Но в данном случае пользователи, сами того не желая, делились со скомпрометированными сервисами и очень личной информацией – паролями, адресами и даже данными банковских карт, включая номер CVC. Подобные сведения могут в дальнейшем быть использованы во вред – например, знание всех данных карты дает возможность лишить ее владельца хранящихся на ней денежных средств.

Приложение Air Canada делает скриншоты экрана, но личную информацию скрывает через раз

Многие из приложений, уличенных в слежке, не используют алгоритмы шифрования личной информации – она передавалась третьим лицам в открытом виде. Столь грубое нарушение прав допустила, в частности, авиакомпания Air Canada – к базе данных скриншотов экрана доступ мог получить, фактически, любой ее сотрудник.

Неведение Apple

Компания Apple, разместившая приложения-шпионы в своем магазине App Store, может оказаться непричастной ко всему этому. Каждое ПО, распространяемое через App Store, должно иметь собственную политику конфиденциальности, и в этом плане перечисленные утилиты правила магазина не нарушили – политика конфиденциальности у них присутствует. Другое дело, что в ней не сказано о ведении слежки за пользователями и тем более записи его действий. Соответствующие разрешения не запрашивались не только у пользователей, но и у самой Apple.

Дальнейшая судьба скомпрометированных утилит пока остается под вопросом, как и то, как компании планируют выходить из сложившейся ситуации, которая грозит им многочисленными судебными исками.  

Личные данные – ценный товар

Это уже третий по счету скандал вокруг слежки за iOS-пользователями за последние две недели. В конце января 2019 г., напомним, Apple уличила Facebook в сборе личных данных миллионов людей при помощи приложения Research VPN. Facebook предлагала пользователям делиться с ней личными данными через это ПО в обмен за ежемесячное вознаграждение в размере $20. За эти деньги она покупала информацию о запущенных приложениях, посещенных веб-сайтах, звонках, переписке и т. д.

Apple посчитала подобные действия со стороны Facebook нарушением правил App Store и удалила Research VPN из каталога, «пощадив» при этом прочие фирменные утилиты Facebook, доступные в магазине. 

На произошедшее сразу же отреагировал Google, признавшись в аналогичных «злодеяниях». Его приложение Screenwise Meter, запущенное еще в 2012 г. (Facebook выпустила Research VPN в 2016 г.), тоже собирало личные данные пользователей в обмен на «деньги». Google предлагал вознаграждение в виде бонусных баллов, подлежащих обмену в американских торговых сетях по курсу $1 за 100 баллов.