De nombreuses applications iPhone populaires de compagnies aériennes, de magasins de vêtements et de sites de voyage peuvent enregistrer votre activité Web à votre insu.
Une enquête a révélé que ces données étaient renvoyées aux développeurs d’applications, mais qu’elles pourraient révéler par inadvertance des données extrêmement sensibles telles que les détails de cartes de crédit et de passeports.
De grandes entreprises telles qu’Air Canada, Hollister et Expedia surveillent secrètement ce que vous faites dans leurs applications.
Les données sensibles sont censées être suffisamment masquées ou masquées pour les protéger des tiers, mais les experts ont constaté que ce n’était pas toujours le cas, ce qui risquait de les placer entre de mauvaises mains.
L’enquête, menée par Zack Whittaker pour TechCrunch , a révélé la présence de plusieurs applications iPhone populaires telles que Abercrombie & Fitch, Hotels.com et Singapore Airlines.
Les sociétés utilisent Glassbox, une société d’analyse de l’expérience client, qui permet aux développeurs d’intégrer la technologie de «lecture en différé» dans leurs applications.
La société a récemment tweeté: « Imaginez si votre site Web ou votre application mobile pouvait voir exactement ce que vos clients font en temps réel et pourquoi ils l’ont fait? »
Les développeurs d’applications enregistrent l’écran et les rejouent pour voir ce que les gens ont fait dans l’application pour voir ce qu’ils ont aimé, détesté ou si une erreur s’est produite.
Cela signifie que chaque pression, chaque appui sur le bouton et chaque entrée au clavier sont enregistrés, capturés et renvoyés aux développeurs de l’application.
Toutefois, certaines entreprises ne masquent pas efficacement les répétitions de session lorsqu’elles les envoient, ce qui signifie que leurs informations de paiement ou leur passeport, ainsi que les détails relatifs à leur visa, sont clairement visibles.
L’analyste d’applications a constaté qu’Air Canada n’avait pas correctement masqué les répétitions de session.
C’est peut-être la raison de la violation des données de l’application iPhone de la société, qui avait révélé 20 000 profils en août dernier.
« Cela permet aux employés d’Air Canada – et à toute autre personne capable d’accéder à la base de données de captures d’écran – de voir des informations non chiffrées sur les cartes de crédit et les mots de passe », a déclaré l’analyste de l’application à TechCrunch.
L’analyste des applications a examiné un échantillon des applications répertoriées par Glassbox sur son site Web en tant que clients et «exemples de réussite».
En utilisant Charles Proxy, un outil utilisé pour intercepter les données envoyées depuis l’application, le chercheur pouvait examiner quelles données étaient transmises depuis l’appareil.
L’analyste a constaté que certaines applications ne masquaient pas les données correctement. Ils ont également constaté qu’aucun d’entre eux n’avait déclaré enregistrer l’activité de l’utilisateur ou lui envoyer le cloud d’une autre société.
« Étant donné que ces données sont souvent renvoyées aux serveurs Glassbox, je ne serais pas choqué s’ils en aient déjà eu l’occasion de capturer des informations bancaires sensibles et des mots de passe », a-t-il déclaré.
Toutes les applications ne laissaient pas échapper des données masquées et des sociétés comme Expedia et Hotels.com capturaient les données mais les renvoyaient à un serveur de leur propre domaine.