iPhone Apps 偷錄屏幕輸入資訊 用戶信用卡護照資料有曝光危機?

撰文:區慶威
出版:更新:

iPhone Apps 竟然偷錄屏幕輸入!科技網站 TechCrunch 最近的調查,發現 iOS 上不少受歡迎的 Apps,原來一直偷錄用戶在屏幕上的輸入,不論是一剔一點,甚至連信用卡號碼等的輸入,都可以在不用問准用戶的情況下錄取。

今次被發現偷錄屏幕輸入的 iPhone Apps,並非那類掛羊頭賣狗肉盜取用戶資料的「釣魚」Apps,而是一些信譽不俗的大機構,透過一間「用戶體驗分析機構」Glassbox,利用一種名為 session replay 的技術,在背景錄取 iOS 用戶在屏幕上的輸入,分析機構可以透過這些記錄及截圖,重建用戶在使用指定 Apps 時候的各種習慣。

有調查發現,不少受歡迎的 iPhone Apps 在背景偷錄用戶使用屏幕的輸入資訊,構成嚴重的個人私隱問題。(設計圖片)

調查發現,好像時裝品牌 Abercrombie & Fitch、Hollister;航空公司 Air Canada、Singapore Airlines;旅遊公司 Expedia 及 Hotels.com 等,同樣有使用 Glassbox 所提供的 session replay 分析服務,去錄取自己用戶使用 Apps 時的習慣。不過 TechCrunch 的調查同時發現,上述所有機構當中,未有一間在用戶條款中,向用戶清楚列明,會錄取屏幕輸入作分析用途。

以 Air Canada 的 Apps 為例,session replay 截取了用戶的信用卡資訊,但卻未有作加密處理。(TechCrunch)

更嚴重的問題是,部分使用 session reply 的機構,並未有為用戶的重要資訊進行加密,TechCrunch 就在截取 Air Canada 記錄的資訊中發現,session replay 並未有適當遮蓋用戶的信用卡或者護照、地址等私隱資訊,令任何能夠獲取 session replay 資訊的 Air Canada 員工,或者成功截取資訊的不法份子,都可以輕易知道用戶的重要個人資料;而 Air Canada 更在不久之前,就發生了資訊失竊,令接近 2 萬位用戶的個人資訊流出。

除了 Glassbox 之外,市場上尚有為數不少,同樣提供「用戶體驗分析」的機構,好像 Appsee、UXCam等。而 Apple 在得悉有關情況後,已經勒令開發者在少於一日內,必須移除有關錄取用戶屏幕輸入的功能,並必須在讓用戶充份了解及同意的情況下,才可以繼續有關錄取分析的行為,否則會將 Apps 從 App Store 中下架。目前來說用戶並沒有什麼可以做,假如有使用上述 Apps 只能希望自己沒中招吧……

補充:現階段用戶可以說是非常被動,被偷錄的資料已經在各相關機構的系統當中,相信在司法機構介入前,短期內大概無法改變這個事實。而若果大家有在以上 Apps 使用自己信用卡一類敏感資料,特別是 Air Canada 的用戶,可能要留意自己的資料是否在 2 萬份外洩用戶資料當中,必要時可能要聯絡發卡公司,更改信用卡號碼以保安全。

【周五心意運動】您捐一封$50利是,已可為基層送上溫飽,01心意呼籲您支持【香港青年協會】 ,每$50即可製作5碗愛心湯和心意禮物。
https://heart.hk01.com/zh/project/10095