Tags: it-questions

водичка

Скандал с мобильным приложением "Бургер Кинг"



На хабре юзер fennikami сделал вброс пост, который вызвал серьёзный ажиотаж. Тема привлекла внимание десятков тысяч читателей.
Автор утверждает, что при входе в мобильное приложение Buger King у части пользователей инициируется видео-запись экрана со всеми действиями от этапа выбора гамбургера до этапа оплаты заказа с помощью банковской карты, а потом файл с этой записью отправляется на сервер хозяев приложения.

За пару дней обсуждение переросло в скандал. Появились посты-ответы от непосредственных участников, а также сочувствующих.
Ссылки на посты по теме:

https://habr.com/post/416919/ fennikami: Burger King и тайная запись экрана вашего телефона
https://habr.com/post/417015/ norver: Разбираемся, что записывает, а что не записывает приложение Burger King
https://habr.com/company/e-Legion/blog/417043/ e-Legion: Басня о Burger King и данных пользователей. Комментарии разработчика
https://habr.com/post/417161/ fennikami: Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение
https://habr.com/company/roskomsvoboda/blog/417145/ Temych (представитель движения "Роскомсвобода"): Приложение Burger King: насмешка над защитой персональных данных. Исправляем?
https://habr.com/post/417165/    Andrey_Rogovsky: Что грозит Burger King
https://habr.com/post/416991/ baragol: Запись видео с вашего экрана не такая уж тайная. Версии Бургер Кинга и Appsee

Если обощить, дела обстоят так:

1. Мобильное приложение Burger King разрабатывала контора e-Legion. По желанию заказчиков они встроили туда стороннюю библиотеку, созданную израильской компанией AppSee, которая позволяет делать видеозапись экрана в низком разрешении (144p) "типа для аналитики" ("для улучшения юзабилити приложения").

2. По утверждению Burger King, такой сбор данных происходит у случайных 10% пользователей (т.е. у 300 т. из 3 млн) и только у тех, кто подключён через Wi-Fi. Однако многие приводят пример подозрительной активности приложения и при подключении не через Wi-Fi. Более того, Wi-Fi может раздаваться с другого мобильного устройства, и при этом подключение может не быть обозначено как лимитное. Как этот момент учитывается, и учитывается ли, - от BK ответа не получено.

3. Многие комментаторы, которые пользуются приложением BK, отметили, что в фоновом режиме оно жрёт невероятное количество памяти (речь идёт о гигабайте на мобильном устройстве!). Что как минимум сильно разряжает аппарат.

4. Перед началом записи на мобильник приходит конфигурационный JSON-файл, в котором по умолчанию прописаны настройки, что поля ввода (т.е. поля, куда клиент вбивает данные карты) закрашиваются чёрными плашками. Однако где гарантия, что в некий момент настройки (умышленно или в результате сбоя) не поменяются? Более того, теоретически у злоумышленника есть возможность подменить этот файл:

https://habr.com/post/417161/#comment_18883033
Но, да, конфиг приходит с сервака appsee и если разработчикам так захочется, они смогут получать запись видео со всеми sensitive-данными, включая номер карты. Достаточно не указать HideInput&HideSensitiveViews в конфиге, выдаваемым с RecordVideo=true.


5. Несколько пользователей провели эксперимент "на себе" и выложили свои примеры перехваченных с помощью специально написанного скрипта видео как с Android-, так и с iOS-устройств. Результаты противоречивы. Однако некоторые данные, такие как номер телефона, можно разобрать даже на видео плохого качества.

6. По закону ФЗ-152 "О персональных данных", просто некий номер телефона, просто номер паспорта или просто некое ФИО (Пупкин Василий Иванович) сами по себе не является персональным данными. Однако в определённых случаях, - а именно, когда их сочетание позволяют однозначно идентифицировать физическое лицо - это уже персональные данные.  Всё зависит от конкретной ситуации.

7. Артем Козлюк (Temych), лидер организации "Роскомсвобода" в своём посте подробно расписал, почему в своём приложении Burger King грубо нарушает ФЗ-152 даже безотносительно факта записи видео. Это отсутствие транспарентности (прозрачности), несоблюдение принципа "privacy by design" и т.д.

При скачивании, установке и первом запуске приложения перед использованием, ООО «Бургер Рус» (официальное юрлицо) не дает возможности ознакомится с Политикой обработки персональных данных, сведениями о реализуемых требованиях к защите персональных данных

При изучении Пользовательского соглашения выясняется следующее:

П. 3.3. Пусть банковские карты не обрабатываются непосредственно компанией BK, зато явно идет сбор идентификаторов по оплате, времени оплаты (и других данных по заказу), которые прямо или косвенно относятся к определяемому или определенному лицу.
п.4.10: Если пользователь удалит приложение, расторгнув договор, его персональные данные продолжат обрабатываться в полном объеме, пока не будет направлено письменное уведомление
В п.5.6.не указаны третьи лица, которым передаются персональные данные.
по п.7.3. Компания не отвечает за утерю любых данных Пользователя.


8. Соообщениями в сети заинтересовался Роскомнадзор и отправил БК официальный запрос.
Многие были бы рады, чтобы этот случай стал прецедентом и как минимум обратил внимание сообщества на текущую ситуацию в плане безопасности в сфере мобильной разработки. Однако специалисты неоднозачно относятся к законодательным ограничениям в данной сфере. С одной стороны, понятно, что какие-то шаги в данном направлении необходимы. С другой, если делать "в лоб", теоретически это может затронуть малый и средний бизнес, повлечь их уход с рынка и вызвать значительное подорожание стоимости разработки в целом.

9. Большинство пользователей возмущены именно самим фактом видео-шпионства. По мнению некоторых, явное указание, что возможна такого рода слежка (например, в виде отдельной "галочки" при входе в приложении, что "я хочу выступить подопытным кроликом участвовать в улучшении приложении")

Al_Azif: Учитывая что обе статью обсуждают проблему в духе «ну замазывают же, всё в порядке»,
у меня назрел вопрос: а что, записывать что-то с экрана и куда-то передавать содержимое моей персональной, по сути, записной книжки стало нормой?

Sabudu: Можно же вместо этого при запуске приложения спросить разрешение на видеозапись и тогда она перестанет быть тайной и люди будут добровольно делиться ей с вами. Почему они так не делают?

10. Тут стоит отметить, что многие современные приложения и сайты используют разнообразные системы логгирования действий пользователей, когда те находятся в приложении/на сайте. Вплоть до следующего:

  • с какой страницы ты попал на сайт

  • сколько времени провёл на каждой из страниц

  • где находился указатель мышки в любой момент времени

  • какие данные вводил в формы

На текущий момент это можно назвать стандартными маркетинговыми инструментами.
Например, речь идёт о такой технологии как Вебвизор:

Вебвизор (WebVisor) — технология, благодаря которой можно анализировать действия посетителей интернет-сайта в режиме онлайн-видео. Воспользовавшись встроенным плеером, можно увидеть точное повторение всех действий посетителя на сайте, как если бы смотрели в его монитор: движения мыши, клики, прокрутка страницы, нажатия на клавиши и заполнение форм, выделение и копирование текста.
21 апреля 2011 года технология Вебвизор интегрирована в систему аналитики в Яндекс.Метрика


Но неудивительно, что неспециалисты о таком и не догадываются.

11. Часть пользователей делает акцент на вероятности "слива" данных по банковским картам:

visput: За полем «Don't hide any field» скрывается более серьезное нарушение. Если вдруг Burger King включит эту опцию, то это приведет к записи всех данных по кредитной карте, что является нарушением стандартов PCI, если компания не имеет сертификации.
А само нарушение имеет последствия от штрафа в $5-100k в месяц до отключения платежных услуг для этой компании. И BK отлично об этом знает.

12. А ещё часть считает наименее допустимым не факт записи видео, не данные банковских карт, а вальяжность обращения с персональными данными. В том смысле, что карту перевыпустить несложно. А вот утечка "базы телефонов потенциальных клиентов" - это гораздо серьёзней с точки зрения информационной безопасности. И, к примеру, зачем приложение запрашивает явно лишнюю информацию?

Sabubu: приложение записывает IMEI (уникальный идентификатор модема телефона, не меняющийся даже при смене SIM карты).


p.s. Не имею отношения ни к кому из действующих лиц. Не являюсь ни клиентом, ни противником Burger King (и вообще у меня равнодушное отношение к фаст-фуду). Их приложением не пользуюсь. У меня даже нет смартфона :)
Этот пост написан исключительно с целью структурировать информацию по теме. С посылом "В какое время мы живём..."