Un investigador de seguridad detectó que las aplicaciones para iOS Hotels.com, Expedia y Abercrombie & Fitch, están haciendo capturas de pantalla de los dispositivos sin que el usuario lo note.
De acuerdo con el informe de TechCrunch, el analista descubrió que varias aplicaciones para iPhone están usando el kit de Glassbox para grabar los gestos y toques, así como todo lo que ves en tu móvil sin consentimiento del usuario.
La técnica conocida como Replay Sessions, básicamente graba los gestos de la pantalla del usuario, que luego se usan por Glassbox a modo de estadísticas para mejorar la experiencia del usuario. No obstante, la investigación arrojó que varias aplicaciones como AirCanada están exponiendo los datos de los usuarios sin algún tipo de cifrado.
App Analyst, hizo el test con la app de esta compañía y los resultados no fueron alentadores, pues las capturas de pantalla realizadas por Air Canada, que utiliza Glassbox para análisis, capturaban contraseñas y otra información confidencial del usuario.
Del mismo modo, TechCrunch señala que entre las aplicaciones que acuden a estas prácticas la mayoría no cifran los datos y menos admiten en sus condiciones de uso que realizan capturas de pantalla usando Glassbox, por lo que el usuario desconoce totalmente que alguien más puede estar rastreando sus gestos en el móvil en tiempo real.
“Esto les permite a los empleados de Air Canada, y a cualquier otra persona capaz de acceder a la base de datos de captura de pantalla, ver información de la tarjeta de crédito y la contraseña sin cifrar”, dijo el investigador a TechCrunch.
Esto es muy preocupante, principalmente porque el slogan de Glassbox reza: “Imagina que tu sitio web o aplicación móvil pueda ver exactamente lo que hacen tus clientes en tiempo real y por qué lo hicieron”.
Y eso no es todo pues el analista explica que Air Canada, intenta utilizar casillas negras para ocultar información confidencial del usuario, lo que significa que “reconoce implícitamente que varios campos dentro de su aplicación contendrán datos confidenciales y que estos datos no deberían”.
Entre las aplicaciones reportadas como peligrosas están Expedia, Hollister, Abercrombie & Fitch, Hotels.com, Singapore Airlines y Air Canada.