iPhone XR analisis review-029

iPhone XR analisis review-029

Software

Algunas de las apps más populares para iPhone graban nuestra pantalla sin permiso

Una investigación ha revelado la presencia en la App Store de apps para iPhone que graban la app sin permiso explícito del usuario.

Noticias relacionadas

La App Store siempre ha presumido de ser una plataforma más segura, pensando en la privacidad del usuario; y Apple no ha dudado en compararla con Google Play en este aspecto. Sin embargo, que Apple imponga estas reglas no significa que todo el mundo las siga; al contrario, ha motivado que muchos desarrolladores busquen métodos alternativos para conseguir la misma información personal que pueden conseguir en Android u otros sistemas.

No hace mucho vimos un caso similar: Facebook y Google abusaron del sistema de certificados de Apple para distribuir apps que obtenían todo tipo de información de los usuarios, saltándose la App Store. Pero ahora una investigación de Techcrunch ha revelado que incluso las apps disponibles en la tienda de Apple usan métodos extremos e inseguros para obtener datos de nuestros móviles.

Apps para iPhone que graban la app sin permiso

Y cuando decimos “extremos” queremos decir “grabar nuestra pantalla sin decírnoslo”. Estas apps usan la tecnología de Glassbox, una empresa de análisis de datos que presume ser capaz de registrar todo lo que hacen los usuarios. En algunos de sus tuits promocionales, la compañía intenta atraer a clientes con la promesa de “ser capaz de ver exactamente qué hacen tus consumidores en tiempo real”.

glassbox 2

glassbox 2

Entre los clientes de Glassbox se encuentran desde grandes compañías financieras a aerolíneas o tiendas. El Banco Santander, ING o Zurich se encuentran entre los “casos de éxito” de los que Glassbox presume. Además, también es usado por empresas de viajes, como Expedia y Hotels.com, así como tiendas online como Hollister.

La tecnología de Glassbox se ejecuta como una capa encima de la app, y se encarga de registrar absolutamente todo lo que ocurre en la pantalla. Cada toque y deslizamiento es grabado, junto con el contenido de la pantalla en cada momento. La idea es que de esta manera los desarrolladores puedan saber si un nuevo diseño está teniendo éxito; o si está haciendo que los usuarios pulsen donde no deben para hacer lo que quieren, por ejemplo. Con esa información, es posible mejorar la app para facilitar la experiencia.

Datos sensibles que son compartidos sin protección

Sin embargo, semejante registro de la actividad del usuario también supone grabar información privada y confidencial. Por eso, en algunos casos estas apps tapan los datos más sensibles, como la información de la tarjeta de crédito, antes de enviar la captura a sus servidores. Sin embargo, algunas de estas apps no gestionan bien esta información y tienen filtraciones que pueden ser aprovechadas por extraños.

glassbox 4

glassbox 4

Por ejemplo, según los expertos de The App Analyst, la app de Air Canada no tapó correctamente la información bancaria de sus usuarios, enviándola sin cifrar por la red tanto a sus servidores, como a los de Glassbox. Un atacante o incluso un empleado de ambas compañías podría leer esa información fácilmente.

La falta de permiso explícito, el gran problema

Pero incluso las apps que funcionan correctamente, y tapan la información sensible, incumplen una norma de seguridad muy importante. Ninguna de las apps probadas avisan al usuario de que están grabando su pantalla. Y por descontado, tampoco le avisan de que esta información está siendo enviada a los servidores de la compañía o a los de Glassbox; aunque no todas las apps optan por enviar información a Glassbox, algunas prefieren usar sólo servidores propios. La única manera de saber que una app usa Glassbox es analizar su tráfico; algo que no es precisamente accesible para todo el mundo.

glassbox 3

glassbox 3

La defensa de Glassbox se ha centrado en que su sistema sólo graba la app, y no todo el móvil. Por ejemplo, si abrimos el teclado, Glassbox no es capaz de grabar la parte que ocupa de la pantalla. Afirma que no obliga a sus clientes a explicar a los usuarios que están grabando la pantalla por la manera “única” en la que funciona en conjunción con la app. De la misma manera, hasta ahora los creadores de las apps investigadas se han centrado en repetir esos puntos; y resaltan cómo esta tecnología les ayuda a encontrar problemas y resolverlos antes de que supongan una molestia para los usuarios.

Sea como sea, es evidente que para un usuario es importante saber si la app que usa está grabando todo lo que hace. Será interesante ver cómo reacciona Apple ante esta tecnología.