Fotografía: Apple

El VAR del iPhone: apps que graban la pantalla sin avisar al usuario

stop

Un servicio de análisis de datos de apps de iPhone transmite a los desarrolladores repeticiones de las sesiones de los usuarios, algunas veces en vídeo

Barcelona, 07 de febrero de 2019 (17:36 CET)

Algunas aplicaciones de iPhone tienen su propio VAR (el árbito asistente de vídeo estrenado en la Copa Mundial de Rusia 2018). Según una nueva investigación los desarrolladores algunas populares apps avaladas por la App Store de Apple incluyen en su código un mecanismo que captura lo que sus usuarios ven en la pantalla y lo que hacen mientras las usan, sin preguntar a los clientes y poniendo sus datos sensibles en peligro.

La investigación –elaborada por el portal de tecnología Tech Crunch– se enfoca en un servicio llamado Glassbox, aunque hay varios más de su estilo. Es un servicio de análisis de datos (analytics) que transmite a los desarrolladores una repetición de las sesiones de uso de los usuarios, desde los "taps" y "swipes" que dan dentro de la app hasta grabaciones de pantalla, todo ello sin que el cliente se entere.

Entre las empresas que contratan Glassbox hay algunas marcas de renombre como Expedia, Air Canada, Singapore Airlines, Hotels.com, Abercrombie & Fitch, y Hollister. Gracias a este servicio estas compañías saben exactamente lo que hacen sus clientes cuando utilizan sus apps, y aunque esto puede tener motivos loables (mejorar el rendimiento de las aplicaciones, por ejemplo) también es inquietante.

"Estas repeticiones de sesión permiten a los desarrolladores de aplicaciones grabar la pantalla y reproducir el vídeo para ver cómo interactúan sus usuarios con la app, para averiguar si hay algo que no funcionó o si se produjo un error", dice Tech Crunch. "Cada 'tap', pulsación de botón y entrada de teclado queda registrada, se captura de forma efectiva –pantallazo mediante– y se envía a los desarrolladores", añade.

Glassbox da acceso directo a la pantalla de usuarios de iPhone

La firma de análisis de apps Glassbox no oculta la tarea de vigilancia que ejerce su producto. En un tuit de octubre de 2018 la empresa promocionó su servicio diciendo: "Imagina si tu web o app pudiera ver exactamente lo que tus clientes hacen en tiempo real, y por qué lo hacen". Después de unos meses de ventaja y de silencioso brío ahora los consumidores también se lo pueden imaginar, pero no por iniciativa de Glassbox.

Este informe, que tiene todos los ingredientes para que Apple tome cartas en el asunto y prohíba este tipo de fisgoneo (especialmente porque las empresas que lo emplean no se lo hacen saber a los usuarios) afirma que las grabaciones de sesiones que Glassbox envió a los desarrolladores de la app de Air Canada mostraban incluso números de pasaporte y datos de tarjetas de crédito de los clientes.

"Esto permite a los empleados de Air Canada, y a cualquier otra persona que acceda a la base de datos de las capturas de pantalla, ver información de la tarjeta de crédito y la contraseña sin cifrar", advirtió la firma de apps y ciberseguridad  The App Analist. Ni esta ni ninguna otra de las apps que usan Glassbox avisó previamente a los usuarios que los grabaría... tampoco que enviaría esos datos a la nube de Glassbox.

"Dado que estos datos a menudo se envían de vuelta a los servidores de Glassbox no me sorprendería si ya han tenido instancias de capturar información bancaria confidencial y contraseñas", agregó The App Analist. Y, por supuesto, esto abre la posibilidad a que estos datos sean vulnerados en algún ciberataque, lo que naturalmente desembocaría en un problema mayor.

Air Canada defiende que su app no puede grabar la pantalla de los usuarios cuando no están usándola, pero alega que necesita esos datos para mejorar la experiencia de los consumidores. Independientemente de este las apps que se distribuyan por medio de la App Store deben someterse a su política de privacidad, y ninguna de las apps analizadas por Tech Crunch hace mención alguna del uso de este "VAR para aplicaciones".

Suscribir a boletines

Al suscribirte confirmas nuestra política de privacidad