Россиянин обвинил Burger King в тайном сборе данных о банковских картах

«Приложение-шпион» Официальное мобильное приложение Burger King, глобальной сети ресторанов быстрого питания, может вести слежку за пользователем, отправляя видеозапись происходящего на экране устройства на удаленный сервер. Этот процесс не приостанавливается даже в момент ввода данных банковской карты при осуществлении оплаты заказа. На данную особенность приложения обратил внимание один из пользователей «Пикабу», русскоязычного информационно-развлекательного сообщества, под псевдонимом fennikami. Исследователь проанализировал трафик мобильного приложения Burger King для операционной системы Apple iOS и обнаружил, что в качестве ответа на запрос, содержащий данные о модели телефона и прочих его параметрах, удаленный сервер также возвращает инструкции о том, как вести запись с экрана данного устройства. Среди возвращаемых параметров он заметил MaxVideoLength, отвечающий за максимальную продолжительность видео. Если этот параметр принимает значение «0», видео записывается в течение всего сеанса использования приложения без ограничения по продолжительности.

Запросы, отправляемые мобильным приложением Burger King, на некий удаленный сервер Дальнейший анализ запросов показал, что записанное видео и информация о прикосновении к экрану в реальном времени отправляются на удаленный сервер по адресу *.appsee.com/upload вне зависимости от используемого канала связи.

Так выглядит видео, записанное мобильным приложением Burger King На момент публикации этого материала пресс-служба «Бургер кинг» в России не ответила на вопросы редакции CNews по затронутой теме. О «загадочном» Appsee Appsee – популярная аналитическая платформа, которая позволяет измерять, оценивать и оптимизировать работу мобильных приложений. Этот аналитический инструмент предоставляет функциональность отслеживания персонального поведения каждого пользователя при использовании конкретного приложения. Платформа фиксирует ключевые метрики выбранных разработчиком групп пользователей для последующей визуализации в отчетах и тепловых картах. Appsee имеет неплохую репутацию в отрасли. По информации, опубликованной на официальном сайте сервиса, услугами платформы пользуются аналитики таких компаний, как Samsung, ebay, Virgin, Upwork и British Gas и полностью соответствует GDPR, общему регламенту по защите данных, недавно принятому в Европейском Союзе. Благодаря этому пользователь может выяснить, какие именно из его персональных данных хранятся на серверах Appsee, и, при необходимости, потребовать их удалить.

Так выглядит расшифровка действий пользователя, записанных при помощи платформы Appsee Приложения, в которые интегрирована клиентская часть сервиса, без особых трудностей проходят обязательную модерацию перед тем, как попасть в App Store. Параметры сбора данных задаются владельцем или разработчиком приложения, требующего анализа действий пользователя. Как правило, запись видео ведется с низкими битрейтом и частотой кадров (влияет на качество картинки и размер файла/скорость потока видео), чтобы излишне на нагружать канал связи при передаче данных на сервер. Кстати, каналы связи для отправки данных также можно заранее определить так, чтобы отправка записанных данных осуществлялась только при подключении через Wi-Fi. Поля ввода, в том числе используемые для ввода паролей и другой чувствительной информации, могут скрываться при записи из соображений безопасности. Из этих же соображений информация передается и хранится в зашифрованном виде. Персональная информация целенаправленно не собирается, поскольку аналитикам, как правило, она не нужна. Ссылка на источник