Burger King и тайная запись экрана вашего телефона

UPD2:
Сделал второй пост с доказательствами и опровержением заявлений Burger King. Читать здесь.

UPD:
fennikami
Я предоставил видео-доказательство того, что поля ввода данных (в том числе — банковских карт) не скрываются + видео отправляется каждый раз при запуске (в чем вы сами можете убедиться, отследив трафик приложения).
Таким образом я имею опровержение официального ответа Burger King о том, что «личная информация скрыта» и того, что якобы используется выборка на 10% пользователей.

Стоит отметить, что ни в одном из официальных видео Burger King (где они якобы демонстрируют скрытие личных данных) не показано меню привязки банковской карты.
В этом видео оно показано.

Также хочу отметить, что после публикации оргинального расследования — на мой блог начались хакерские атаки (брутфорс админки, поиск эксплоитов, попытка DDoS).

Я готовлю второй пост на эту тему.
Stay tuned, больше информации — в моем блоге.


Привет, Хабр! Мне 18 и я бородат в свободное время ковыряю разные приложения. Сегодня мои руки дошли до распиаренного и популярного приложения Burger King (того самого, где «бургер — бесплатно», «наедалово» и промокоды для друзей).

Запускаю их приложение, наблюдаю за трафиком. И тут обнаруживаю это:

image

Что это такое? Если нет идей, смотрите под катом.

UPD:
3amynoK
Я бы сказал они ходят по офигенно тонкому льду. Я вижу тачи — переходы между полями, но тапов по клавиатуре я не нашел в их данных. yadi.sk/d/tjxg2OJ83Z6YB8 Я снова зашел на форму, ввел в номере карты 123456… Что я вижу так это открытие формы карты «BurgerKing.PYCardInput»,«s»:132000 где s это время, потом смотрел все тачи TouchEvents с этого времени и отметил их на скрине. Actions значения смутили, там есть «h»:216 что есть высота клавиатуры и там какие то события с «i» подряд 1, 2, 4. Я думаю это выбор даты срока карты при выборе в барабане.
UPD модератора Хабра:
Мы связались с участниками истории и получили комментарии — следите за ними в нашей статье.

А это запрос от приложения к серверу (сверху) с информацией вроде его версии, модели телефона, времени запуска, разрешении дисплея. Вроде бы все нормально, но…

В ответ телефону приходит информация (снизу) о том, как записывать видео с экрана.

Причем, параметр MaxVideoLength (максимальная длина видео) указан как «0», что значит — бесконечная запись (пока приложение запущено).

Т. е. — приложение не просто записывает экран, а делает это непрерывно, и ровно таким же образом непрерывно отсылает запись на сервер. Пользователи мобильного интернета (то есть почти все) такую «фичу» оценили, думаю.

Запись экрана передается как обычный *.mp4-поток:

image

Обратите внимание на адрес *.appsee.com/upload (AppSee — это видео-метрика для приложений) слева и сам файл *.mp4 справа (в заголовке информация о кодировании, чуть ниже — сам *.mp4).

Ну и вишенка на торте: экран записывается даже тогда, когда Вы вводите данные своей банковской карты в приложении (и это необходимо для осуществления заказа). Заметьте, все данные.

И финальная вишенка: мало того, что записывать экран — весьма сомнительное занятие, так еще к записанным видео имеют доступ не только разработчики приложения Burger King, но и различные партнеры AppSee (то есть — совершенно левые люди с неизвестными намерениями), да и сам AppSee тоже.

Напомню — видео записывается даже тогда, когда вы указываете данные своей банковской карты. И к нему имеют доступ кто попало.

Вот так выглядит само видео:

image

P.S.: да-да, вы могли читать этот пост в похожем виде на другом сайте, но такому бургер-огню явно место на Хабре. Надеюсь на понимание всех и НЛО.
Поделиться публикацией
Комментарии 471
    +6
    А как вы просниффали траффик. Он не шифруется?
      –2
      Судя по интерфейсу это Fiddler. Скорее всего запущен эмулятор Андройда с ПК.
        +21
        Подмена сертификата во время перехвата трафика. Cert pinning нет.
          –41

          Парень, а шаг с установкой Fiddler CA в систему ты пропустил? К чему твои повторяющиеся "нет certificate pinning"? Ты понимаешь вообще, для чего нужен CP или просто услышал где-то, что это круто (полагаю, CP мешает тебе "ковырять приложения" и вызывает чувства сходные с благоговением — это ведь магия, раз фиддлером не поснифать трафик!)? В браузерах его в принципе нет, но что-то никто на эту тему не парится, но при этом люди спокойно вводят данные своих кредиток.

            +1
            это на пикабу в комментариях сказали просто <_<
              +3
              Что значит «повторяющиеся нет certificate pinning»? Где еще они повторяются?
                +3
                В браузерах его в принципе нет

                А это не оно? en.wikipedia.org/wiki/HTTP_Public_Key_Pinning
                  +1
                  Это труп, который не работает.
                  –4

                  Да ладно, молодой кулхацкер нашел первую более менее нормальную "фичу" в своей жизни, расфорсил её, даже сделал свой мини блог под это дело) так бывает с кулхацкерами) простим ему это

                  0
                  Это таки Fiddler?
                +6
                Подобных мерзостей от этой компании и ожидал, поэтому не доверил им даже номер телефона.
                Кто-нибудь знает, возможно ли в условиях российской действительности устроить для компании какие-нибудь проблемы и вообще ответственность за подобное поведение?
                  +9
                  Запросто. Запостить на реддит.
                  –36
                  Каких мерзостей? Человек залез в код, удалил сертификат, запустил приложение на эмуляторе. О чем речь? Вы осознаёте, что любой код можно переписать так, чтобы в него можно было вмешиваться?
                    +27
                    Как удаление сертификата оправдывает слежку за экраном пользователя без его ведома?
                      –6
                      Вы определитесь куда камнями кидать уже. Или в отсутствие шифрования, или в уязвимость, или в запись экрана.
                        0
                        Прошу прощения, не уловил тред про открытое соединение.
                          +2
                          В запись экрана, офк
                            +2
                            А кто тут кидается камнями в отсутствие шифрования? В упор не вижу…
                              +1
                              Не валяйте дурака :)
                              Что плохого в бросании камней за всё?
                            +3
                            Я ничего не удалял, если что.
                            +13
                            Вот-вот, меня удивляет, у нас ведь по закону запрещено скрытое наблюдение, и даже покупка устройств для этого, а тут компания устраивает скрытую запись экрана пользователя. Было бы конечно хорошо, если какой-нибудь РКН взбесился и хоть раз сделал бы что-то полезное. Пусть разработчики испытают на себе то же, что и люди, заказывающие ручки с видеокамерой.
                              0
                              Пользователь сам дает согласие на такую запись. ToS никто не отменял — еще скажите, что Windows не предупреждает, что следит)
                              p.s. " люди, заказывающие ручки с видеокамерой" — это зона ответственности не РКН, а ФСБ)
                              А так любой желающий может накатать жалобу РКН на Бургер Кинг, но ответ будет очевидным — с точки зрения бумажного законодательства все четко, вы сами соглашаетесь с условиями использования приложения, а технически РКН не проверит так ли честны разрабы или нет.
                                +12
                                Есть же простое и этичное решение проблемы. Показать при первом запуске приложения попап с иконкой видеокамеры и надписью: «В целях улучшение приложения мы бы хотели вести видеозапись вашей активности в нем. Разрешить? Да/нет».

                                Почему они так не делают? Потому, что они не хотят, чтобы 1) у пользователя был выбор 2) он вообще об этом знал.

                                Это неправильно, должно быть наоборот.

                                То, что вы предлагаете — «читать ToS» — это предложение жить в мире, где все пытаются друг друга обмануть и перехитрить. Где приходя в ресторан или гостиницу, вам придется прочитать целиком все юридические документы (а вдруг там написано, что вы обязаны потом пожизненно им платить за один раз оказанную услугу), где вам придется в автосалон или на собеседование на работу ходить с юристом (там вообще куча вариантов обмана). Где честный бизнес не может соревноваться с наперсточниками.

                                Мне это не нужно. Мне нужен мир, в котором я могу пользоваться любыми приложениями и услугами, и знать, что они не будут следить за мной, а если попытаются, то их настигнет карающая рука закона. Где торговцев персональными данными преследуют сильнее чем торговцев наркотиками.
                                  –3

                                  Напомнить про Яндекс, Гугл, Майкрософт?

                                  +3
                                  > вы сами соглашаетесь с условиями использования приложения
                                  т.е. по-вашему туда можно написать все что угодно и законодательно это будет ОК, потому что нажали соглашение?
                                  +5
                                  Как бы — AppSee в том числе для этого и предназначена. Как и например — TestFairy.
                                  Оно полезно при разработке.
                                  Другое дело что вменяемые разработчики на экранах вроде вводе данных кредитки — выключают запись. Да и вообще используют такие вещи на альфа/бета-версиях.
                                  У AppSee же — Which sessions will be video recorded?
                                  Appsee automatically selects the sessions to record in order to provide a sufficient sample of your users. You can also manually select which sessions will be video recorded.

                                  Ну с другой стороны — считают что эти данные им нужны для отладки. А вы с этим — согласились (хотя вот ОЧЕНЬ интересно — если утекут номера кредиток через AppSee — Бургеркинг готов отвечать за это?).

                                  p.s.
                                  Сейчас пишу приложение, номеров кредиток там и близко нет (как и медицинских например данных) но есть данные которыми возможно пользователи не захотят делится даже с другими пользователями (сколько и за что они заработали).
                                  В лог пишется в том числе весь сетевой (расшифрованный) сетевой обмен, при сбоях — последние несколько десятков килобайт логов — улетают в Crashlytics.
                                  Не раз выручало при выяснении что не так.
                                  Но если таким способом что-то секретное утечет через нашу компанию — сначала этот клиент по шее даст компании, а и мне (или другим разработчикам с доступом) прилетит. NDA подписаны и там санкции прописаны.

                                    0
                                    Мне кажется, что сервисы типа AppSee и TestFairy в целом предназначены в первую очередь для тестовых сессий (например, тестировщик случайно крашнул приложение, а потом по видео смог восстановить свои шаги), а не для массового использования в проде.
                                +8
                                А выложи-ка само видео? Кстати, ты говорил, что оно еще и прикосновения пишет параллельно?
                                  +16
                                  У него нет такого видео. Автор просто соврал. На Пикабу эту историю успешно схавали. Если тут тоже схавают без фактчека — будет смешно.

                                  appsee блюрит поля ввода. Так что данные карты не видны.

                                  image
                                    +3
                                    AppSee замазывает поля только если это указать отдельно.
                                      +11
                                      Да именно так. Вы проверили что в приложении BK они не замазываются? Или это из серии «а если бы вот они не замазывали — они бы получили данные»
                                        +6
                                        А что даст эта проверка, если настройку в любой момент может изменить как эксплуататор приложения, так и злоумышленник, неправомерно получивший доступ к его системе, либо подменивший JSON, прилетающий программе с сервера?
                                      –1
                                      И… Это всё, что Вы можете на это сказать? Что сервис записи видео замазывает поля ввода?

                                      А то, что программа заказа бургеров без разрешения и огласки записывает экран — это, типа, нормальное поведение?!

                                      Данный функционал должен быть отражен в списке разрешений. Чтобы я его мог отключить.
                                        +30
                                        А Хабр использует Яндекс метрику с флагом webvisor:true и тоже нигде об этом не пишет.
                                        Скорее закрывайте браузер!

                                        *сарказм*
                                          –5
                                          Скорее принимайте законы о защите приватности :)
                                            +5
                                            Уже приняли закон о отмене приватности, сарян.
                                            0
                                            Вот поэтому я и не использую приложения, а только сайты. На сайте я могу порубить всю эту оналитику.
                                              0
                                              В приложении тоже можно порубить «оналитику», если, например, использовать свой DNS.
                                              0
                                              Да, а потом Хабр просит не юзать Адблок. Да и вообще если Хабр это делает, это не значит, что Бургер тоже это делать может.
                                                0
                                                А аналитику рубит не Адблок, а Ghostery и подобные приложения про них Хабр ничего не просит.
                                                  0

                                                  Ну ublock вроде как блочит аналитику. Хотя нужно это узнать точно.

                                                    +1
                                                    Блочит.
                                                    EasyPrivacy
                                                    [Adblock Plus 1.1]
                                                    ! Version: 201807170422
                                                    ! Title: EasyPrivacy
                                                    ! Last modified: 17 Jul 2018 04:22 UTC
                                                    ! Expires: 4 days (update frequency)
                                                    ! Homepage: easylist.to
                                                    ! Licence: easylist.to/pages/licence.html
                                                    !
                                                    ! Please report any unblocked tracking or problems
                                                    ! in the forums (https://forums.lanik.us/)
                                                    ! or via e-mail (easylist.subscription@gmail.com).
                                                    !
                                                    ! -----------------General tracking systems-----------------!
                                                    ! *** easylist:easyprivacy/easyprivacy_general.txt ***
                                                    &action=js_stats&
                                                    &callback=hitStats_
                                                    &ctxId=*&pubId=*&clientDT=
                                                    &ctxId=*&pubId=*&objId=
                                                    &event=view&
                                                    &http_referer=$script
                                                    &pageReferrer=
                                                    &ref=*&tag=
                                                    &refer=http$script
                                                    &refererPageDetail=
                                                    &trackingserver=
                                                    -AdTracking.
                                                    -analitycs//fab.
                                                    -analitycs//ga.
                                                    -analitycs//metrica.

                                                    /yandex-metrica-watch/*
                                                    /yandex-metrika.js
                                                    /yastat.js

                                                    ||yandex-metrica.ru^$third-party

                                                    ||an.yandex.ru^

                                                    ||mc.yandex.ru^
                                                    … итд
                                              +15
                                              если вы почитаете ToS BK, то увидите что вы даете разрешение на доступ к этим данным. И с добрым утром, такая телеметрия есть в любом продвинутом приложении. Хорошо это или плохо — это отдельный вопрос.
                                              Но автор несет чушь.
                                              — Утверждает, что AppSee может слить эти данные — но в PP сервиса указано, что доступ к этим данным имет толкьо их сервис провайдеры типо хостеров и т д.
                                              — Утверждает что на запись попадают данные карт. Но не предоставил пруфов, что в видео действительно уходят данные карт не заблюренные.
                                                –6
                                                > Утверждает, что AppSee может слить эти данные — но в PP сервиса указано, что доступ к этим данным имет толкьо их сервис провайдеры типо хостеров и т д.

                                                Ну вот фитнес-трекер слил расположение военных баз например, хотя у него тоже была privacy policy и прочие имитирующие саморегулирование документы. Тут нужен государственный кулак, без него капиталистов в погоне за прибылью не угомонить.

                                                > сли вы почитаете ToS BK, то увидите что вы даете разрешение на доступ к этим данным.

                                                Это неправильно. Рекламировать приложение как способ удобного заказа бургеров, а по факту следить за пользователями. Почему они в рекламе это не пишут, а прячут в ToS?

                                                Вот представьте, вы будете покупать машину, а в автосалоне вам в договор припишут мелким шрифтом, что это не продажа машины, а сдача ее в аренду на месяц за полную стоимость. Или что предоплата в размере 30%, которую вы внесли, не входит в стоимость машины, а лишь оплачивает ее демонстрацию вам. Или вам предложат купить лекартсво, излечивающее болезнь, а в договоре мелким шрифтом напишут, что это просто витамины и что согласно научным исследованиям они действительно улучшают здоровье.

                                                Вы наверно скажете, что это нормально, что надо читать договор, но вот правоохранительные органы могут такое квалифицировать как мошенничество. Думаю, и с тайной слежкой должно быть то же самое. У нас ведь запрещен оборот устройств (а хотят добавить сюда и программы) для скрытой съемки, а с точки зрения пользователя, это и есть скрытая съемка экрана.

                                                Капиталисты сами себя не урегулируют — они напишут в ToS что вы обязаны продать им душу — потому нужен государственный кулак, который будет над ними висеть. Мы видим, к сожалению, что другие варианты не работают.
                                                  0
                                                  Абстрагируясь от сути топика.
                                                  Если уходить в правовое поле — есть нормативные акты, регулирующие правила написания контрактов и соглашений. При их нарушении крупную интернациональную корпорацию заставят принять противоестественную позу и выплатить ВЕСЬМА ощутимый штраф.
                                                  Или Вы думаете что у компании уровня бургеркники юристы уровня «папа протащил на юрфак»?
                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                +29
                                                Если тут тоже схавают без фактчека — будет смешно.

                                                И судя по рейтингу статьи вполне себе схавали. Ну раз в статье джейсоны, и скрины админских тулзов — значит серьезное расследование, зачем разбираться. Очень обидно за хабр.
                                                  +15
                                                  Обидно ещё и за аудиторию: у большинства нет сомнений, что корпорации их обворовывают, прослушивают, бигдатят и зомбируют. А хрен с ним, что в ЕС, РФ и США действует тонна законов, регулирующих и ограничивающих сбор данных, а большие корпорации – первая цель для всех проверяющих органов. Хрен с ним, что AppSee зарегистрирована как компания и имеет кучу партнёров уровня Samsung и eBay. Хрен с ним, что приложение прошло AppStore Review и у него есть разработчик с именами и фамилиями. Не, это всё не берётся в расчёт. Раз я могу быстро забацать в xCode приложение и отправлять себе на домашний сервер свои же данные, то совершенно очевидно, что крупные корпорации делают так же и не имеют никаких последствий от многочисленных комиссий и комитетов, которые с этого живут.

                                                  Увы, критическое мышление и проверка источников – это потенциальные возможности, а не имманентные человеку данности. Желтизна такая желтизна.
                                                    +12
                                                    А компания Burger King как рекламирует свое приложение? Как приложение для желающих бесплатно поработать тестером и разрешить запись их экрана или как приложение для заказа бургеров? По моему, это разные вещи.

                                                    Это и есть обман. Есть мошенники, которые продают пенсионерам за огромные деньги витамины под видом лекарств для их болезни, а есть компании, которые обещают одно, а тайком делают другое.

                                                    Мне, наоборот, непонятна логика тех, кто это защищает. Вам нравится, что компании следят за вами и ущемляют ваши права — это, конечно, ваше дело, но почему от этого должны страдать другие?

                                                    > Хрен с ним, что приложение прошло AppStore Review и у него есть разработчик с именами и фамилиями.

                                                    И? это говорит лишь о том, что AppStore Review не очень беспокоит приватность пользователей, если ее нарушение прописано где-то в глубине ToS.
                                                      +7
                                                      Господа… надеюсь тут все разработчики и мы все прекрасно понимаем, что нельзя отловить все баги на этапе тестирования. Конечные пользователи не умеют писать багрепорты (единицы на самом деле). Они будут в комментах паниковать и орать.
                                                      Что в таком случае вы предлагаете делать?
                                                        +12
                                                        Все критические баги найти более чем реально, либо вы не тестированием, а неизвестно чем занимаетесь. Обычно, баги, которые не удалось отловить на этапе тестирования, повторить тяжело в принципе, даже имея видео. AppSee больше нацелено на замену рядовых тестировщиков.

                                                        Они будут в комментах паниковать и орать.
                                                        Что в таком случае вы предлагаете делать?
                                                        Как разработчик вы должны знать, что в комментах всегда кто-то будет орать и паниковать.
                                                          0
                                                          Не представляю, как видео с экрана может помочь выловить баги. Это должны быть баги размером с паровоз. Копить логи на дивайсе, а при крэше приложения сливать их на сервер — решение гораздо более полезное во всех отношениях. Можно даже не сразу сливать, а только по команде с сервера.
                                                            +5
                                                            Я лично видео + логи сопоставляю. Пару раз помогло отловить серьёзные баги, которые на этапе внутреннего тестирования не заметили. И это не вина тестировщиков. Баги были нереально редки и встречались только на определённом железе еще. Бывает всякое.

                                                            БГ нужно было оповестить о том, что есть запись видео и её можно отключить в настройках.
                                                              +4
                                                              Вы явно не разрабаотывали мобильного приложения с большим количеством юзер-путей. С логами всегда одна и та же проблема — либо они избыточно подробные, и их невозможно адекватно анализировать, либо слишком скупы. Да и на этапе разработки не всегда очевидно какие данные в логах понадобятся для дальнейшего анализа. А вот записанный сценарий использования — отличное подспорье для воспроизведения бага.
                                                                0
                                                                Как вариант — запись видео по запросу пользователя. Увидел какую-то проблему (не crash — он должен ловиться dump'ами) — залез в менюшку — отослать bug report, по запросу начинается запись экрана и в конце отправляется разработчику.
                                                                  0
                                                                  Когда баг произошел видео записывать уже поздновато. Запись видео частенько помогает отловить странные и трудновоспроизводимые баги.
                                                              +2
                                                              При запуске приложения показать попап и попросить разрешение на видеозапись экрана для улучшения приложения. Предложить варианты выбора «да» и «нет».

                                                              Будет 100% этичное решение, и в тестировании будут участвовать только те, кто хочет.
                                                              –3
                                                              Как приложение для желающих бесплатно поработать тестером и разрешить запись их экрана или как приложение для заказа бургеров?

                                                              А ещё у пользователей есть глаза, которыми можно увидеть разрешение на это в пользовательском соглашении. Если кто-то ленив и не хочет читать — это исключительно его проблемы, у нас взрослый мир, а не ясли, где всё надо разъяснять. Не удивлюсь, что при первом запуске был крыжик «разрешить отправлять информацию для улучшения приложения», который никто не снимал.
                                                                0
                                                                Не было никакого «крыжика».
                                                                  +7
                                                                  А вы, когда в ресторан приходите или в гостиницу заселяетесь, читаете все юридические документы? Не боитесь, что там будет «оформляя заказ, Клиент дает неотзываемое согласие на вступление и ежемесячную оплату взносов Клуба Успешных Людей. В случае нежелания вступать в Клуб, Клиент обязан покинуть заведение до оформления заказа»?

                                                                  А когда врач вам выписывает лекарство, вы читаете все документы? Не боитесь, что вам выпишут витамин C по завышенной цене и постелят соломку в пользовательском соглашении?

                                                                  Ну и машину вы конечно пойдете покупать только в компании юриста, да?

                                                                  Вы предлагаете идиотизм — обязать всех читать длинные юридические документы (а они будут длинными, я вам гарантирую) и разрешить обманывать не читающих их людей. А надо, чтобы никого нельзя было обманывать.
                                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                                      –1
                                                                      Я предлагаю адекватное госрегулирование, которое работает и проверено временем. К чему приводит отсутствие регулирования, мы уже увидели — бесконтрольные сбор и накопление перс. данных, утечки, скандалы.

                                                                      Это же не моя вина, что компании не могут без закона сами выработать адекватные правила обращения с перс. данными и правила раскрытия информации.

                                                                      > Не беспокойтесь, совсем бреда в капиталистических договорах не напишут, иначе найдётся какой-нибудь совсем обиженный капиталистический пользователь, который засудит эту большую компанию на большую сумму денег

                                                                      А почему? Потому что приняты специальные законы на эти случаи. Вы удивитесь, сколько различных законов напринимали, например, в позиционируемой как «самая свободная» стране США.

                                                                      Ну так давайте сделаем то же самое и для любителей прятать разрешение на слежку в ToS. Чтобы попытка обхитрить пользователя программы расценивалась судом так же, как попытка обмануть пациента или покупателя автомобиля всякими скрытыми комиссиями.
                                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                            +1
                                                                            Конституция дает только общее описание государственного устройства, а конкретизируется оно законами. Ну например, конституция не указывает, каким образом должно быть получено «согласие» на распространение данных — а капиталисты естественно заинтересованы в том, чтобы прописать это согласие в глубине пользовательского соглашения на 10000 слов.

                                                                            Потому закон, который запретит такие трюки, несомненно, будет полезен.

                                                                            Разумеется, хороший закон написать трудно, так же, как и написать хороший код. Для этого должно совпасть много факторов — и адекватное правительство, прислушивающееся к мнению граждан, и общественное обсуждение, и грамотные эксперты, и СМИ, освещающие дискуссии и выявляющие попытки пролоббировать выгодные для компаний пункты.

                                                                            Нынешнее правительство, которое не выбрано на конкурентных выборах, конечно, адекватным я не считаю. Но это не отменяет того факта, что кроме закона ваши персональные данные никто не защищтит. Вы можете хоть обвешаться адблоками и блокировщиками, но это не помешает сотовому оператору, интернет-магазину, банку раздавать ваши данные направо и налево.

                                                                            Ну серьезно, расскажите, как в отсутствие закона вы запретите сотовому оператору продавать данные о ваших звонках и вашем местоположении? А банку — о ваших финансах и тратах.
                                                                      +1
                                                                      Вы читаете все пользовательские соглашения? Сколько у вас примером уходит времени на установку, ну не знаю, Вайбера?
                                                                    +11
                                                                    Как раз-таки аудитория может смотреть шире на ситуацию, по крайней не так однозначно как Вы в Вашем сообщении, в котором мир представлен через призму розовых очков. Аудитория, например, может помнить про:

                                                                    у большинства нет сомнений, что корпорации их обворовывают, прослушивают, бигдатят и зомбируют.


                                                                    — то, что именно на этом строит свою бизнес-модель, например, Facebook и Google — одни из крупнейших компаний в мире; здесь на Хабре неоднократно постились статьи и комментарии с конкретными примерами, как то или иное приложение шпионит за пользователем — последний раз вчера в статье про колонку Яндекс.Станция;

                                                                    А хрен с ним, что в ЕС, РФ и США действует тонна законов, регулирующих и ограничивающих сбор данных, а большие корпорации – первая цель для всех проверяющих органов.


                                                                    — историю с Cambridge Analytica. Нахождение её штаб-квартиры в Великобритании, а Facebook — в США, как-то не помогло.

                                                                    что AppSee зарегистрирована как компания и имеет кучу партнёров уровня Samsung и eBay.


                                                                    — что наличие партнеров в определенный момент времени мало о чем говорит; стоит компании/лицу «замарать» свое имя, как партнеры сразу же разрывают любые деловые связи; наглядно в историях со спортсменами — не успело прозвучать обвинение в допинге/избиении жены/краже кроссовок из магазина, как на следующий же день от рекламодателей (партнеров) и след простыл;

                                                                    что приложение прошло AppStore Review


                                                                    — его же прошли и откровенно стремные приложения, например для джейлбрейка, замаксированное, если я правильно помню, под фонарик; если говорить про Android (под который также есть приложение «Бургер Кинг»), то с периодичностью раз в месяц публикуются статьи с оценкой количества откровенно вредоносных приложений — счет идет на тысячи.

                                                                    Так что не стоит обижаться на аудиторию Хабра — скепсис должен быть понятен.
                                                                    Причем вредоносное использование ранее собранных данных может произойти и без злого умысла, а просто по недосмотру или разгильдяйству — забыл админ сменить настройки по умолчанию, и вот твои данные уже в сети. Причем админ может быть ответственным за инфраструктуру военной базы — и всё равно он может забыть сменить стандартный пароль на рутере и обновить прошивку последнего.
                                                                      0
                                                                      Дорогой мой человек, это не розовые очки, а сущая реальность – большинство крупных компаний и даже государств (отдельные не в счёт) понятия не имеет, что им делать с таким объёмом данных о клиентах. После случая, когда в США спокойно въехали откровенные террористы просто потому, что данные на них были у одного ведомства, а границу проверяет другое, после ситуаций, когда в ЕС и США можно годами жить, платить всюду картой, брать в аренду машины и пользоваться мобильниками при полном отсутствии легальной визы, после того, как DHL Россия не может ничего поменять в заказе на моё имя, посланным из Чехии в Италию и посылает «звонить туда», после того, как Делимобиль постоянно звонит мне и предлагает новые тарифы, хотя сам же отказал в регистрации и запросил у меня бумажную справку из ГАИ о действительности прав (номера по базе и фотки им мало), после того, Apple Россия не может отменить ошибочный сертификат из США, после того, как я столкнулся с адовой бюрократией и семью начальниками, которые должны согласовать любой чих в больших компаниях, после всего этого я сильно сомневаюсь в том, что они умеют нормально обрабатывать бигдату. Какие-то отдельные запросы делают, но до нормального построения профиля клиента по косвенным данным ещё очень и очень далеко. Просто ещё руководство не понимает, что это такое.

                                                                      А по Вашему списку моих тезисов – я согласен с Вами, каждый этап можно объяснить и найти многочисленные примеры косяков. Но эти примеры рано или поздно становятся известными и ломают какой-то один уровень. Чтобы у такой большой корпорации месяцами работала явно противоправная схема, которую кто-то приказал разработать и внедрить, чтобы им повезло на всех этапах проверок, чтобы ни один начальничек не побоялся бы стать крайним, чтобы сознательно идти на столь опасную игру в правом поле последних законов, посвящать десятки человек в схему (а они вовсе не ЦРУ) – это больше похоже на конспирологию и сильное преувеличение разумности больших компаний.

                                                                      А так-то – да, идиотов всюду хватает и пароли стандартные оставляют, и пропуска не проверяют, и социальную инженерию никто не отменял. Но я бы не паниковал раньше срока.
                                                                        0
                                                                        последних законов

                                                                        Вот кстати последним европейским законам почти никто не соответствует. И ничего.
                                                                          0
                                                                          Пакету Яровой тоже пока никто не соответствует. Дело времени.
                                                                      0
                                                                      А хрен с ним, что в ЕС, РФ и США действует тонна законов, регулирующих и ограничивающих сбор данных, а большие корпорации – первая цель для всех проверяющих органов. Хрен с ним, что AppSee зарегистрирована как компания и имеет кучу партнёров уровня Samsung и eBay.
                                                                      И вот к чему приводят тонна законов и именитые бренды habr.com/post/416885
                                                                      +3

                                                                      А почему бы тебе не написать опровержение? Не будет обидно за хабр тогда. Хабр это мы и есть.

                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                        +2
                                                                        Если Вы человек в теме, и у Вас есть сейчас возможность повторить описанное в статье. То не могли бы Вы пожалуйста и файл с обработкой нажатий на экран проанализировать. А именно, в момент ввода кредитки пишутся ли события нажатия на клавиши клавиатуры?
                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                            +1
                                                                            fennikami вот это стоит в пост добавить, а то пока пустовато.
                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                                –2
                                                                                Никто их в заблуждение не ввел.
                                                                                Еще раз: телеметрия с записью экрана при вводе данных карты — не круто.
                                                                                Вечером залью видео которое внезапно опровергает что у БК данные карты замазаны.
                                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                                    –1
                                                                                    Ну и метод ты нашел чтобы себя распиарить.
                                                                                      0
                                                                                      Пруфы обязательно надо прикладывать к таким обвинениям сразу.
                                                                                        0
                                                                                        Вечером можешь уже не заливать.
                                                                                        +1
                                                                                        Где видео?
                                                                                          +1
                                                                                          а вечер уже наступил?
                                                                                        +2
                                                                                        Уже добавил.
                                                                                          +1
                                                                                          Добавь следующее сообщение от 3amynoK
                                                                                            0
                                                                                            Почему-то я не вижу видео, только скриншот видеоплеера. Я что-то неправильно делаю? Можете дать ссылку на видео?
                                                                                                +1
                                                                                                На видео виден номер телефона, который является ПД. По номеру телефона можно, купив данные у дата-брокеров, например найти человека в других базах: базах покупок, базах пользователей скидок, базах бравших кредиты итд.

                                                                                                Причем, что интересно, они требуют номер телефона для использования приложения, даже если ты хочешь просто посмотреть каталог товаров, и например придти и заказать их лично. Вот так отношение к людям.
                                                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                                    0
                                                                                    блюр не помогает, даже пикселизация не помогает (вспоминаем историю пару лет назад о коллективной расшифровке пикселизированной строки, кажется и нейронки потом этому научили)
                                                                                    +8
                                                                                    Да, видео было бы интересно глянуть, но что-то автор не спешит его выкладывать.

                                                                                    прикосновения пишет параллельно


                                                                                    Скажу честно, я в этом — ни уха ни рыла, но строчка UploadTouchEvents = True выглядит подозрительно.
                                                                                      +4
                                                                                      Пишет много чего www.appsee.com/features
                                                                                      Но все вполне официально и по GDPR)
                                                                                        –29
                                                                                        Что же вы этот GDPR суете везде?
                                                                                        GDPR — глупый закон, который сам по себе ну никак не помогает в privacy regain, и это не показатель.
                                                                                          –3
                                                                                          Правда что ли? А гиганты типа Google — дураки. Это они сами себе напредумывали в своей «гейроппе»
                                                                                            –2
                                                                                            Непонятно за что заминусили, ведь GDPR действительно ужасен. Он только увеличит стоимость разработки, издержки IT компаний, но никак не поможет с защитой приватности данных. Просто это всё будет делаться неформально самыми наглыми компаниями, а добропорядочные будут проигрывать конкуренцию. К appsee претензий не имею, но защищать GDPR… Серьезно?!
                                                                                            +2
                                                                                            получается так что именно appsee пишет видео, а не бургер кинг.
                                                                                            То есть аналитику ведет это приложение, а бургер выступает лишь как распространитель.
                                                                                            В любом случае писать данные карты да и вообще любые данные — на видео это жесть.
                                                                                            Это реально нарушение моей приватности. Это уже за гранью аналитики
                                                                                              +1
                                                                                              Нет. AppSee не сам пришел к вам на телефон, его установили разработчики Burger King. Это они следят за вами, а AppSee лишь производит инструмент для этого.
                                                                                                +1
                                                                                                appsee же платформа, и на её сервера идут все данные. Разве нет?
                                                                                                Я конечно не пользовался, не знаю. Но в моем представлении это именно так и работает, исходя из опыта других продуктов. Того же вебвизора как выше упомянули
                                                                                                  0
                                                                                                  Модуль appsee пишет видео и отправляет на свой сервер откуда аналитики или разработчики бургер кинга забирают информацию, в том числе и записанное видео. Сами appsee вряд ли вообще просматривают их, там же миллионы видео файлов записываются, а им оно вообще не нужно.
                                                                                              0
                                                                                              некоторые еще харю пытаются писать без разрешения. Как то фонарики всякие, банковские приложения
                                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                0
                                                                                                Не спешу выкладывать потому что я, внезапно, человек и мне надо спать после бессонной ночи.
                                                                                                +1
                                                                                                Привет, сейчас занят очень, но вечером залью из дампа как раз.
                                                                                                –3

                                                                                                Опять? Привыкните уже — приложения и сайты имеют аналитику, вебвизор и иные средства анализа взаимодействия пользователя с продуктом.

                                                                                                  +10
                                                                                                  Пусть и разработчики тогда привыкают, что пользователи всеми силами блочат эти «интересные» функции. Пост автора побудил меня наконец разобраться в вопросе и поставить на свой телефон блокировщик трафика и прочих следилок (я раньше неверно думал, что для этого требуется рут, оказалось не так), даже приобрёл это приложение, что делаю в исключительных случаях.
                                                                                                    0
                                                                                                    Что за приложение? Поставили первое попавшееся или провели какое исследование?
                                                                                                      +1
                                                                                                      Adguard возможно.
                                                                                                      Только я не уверен, что он подобное блокирует.
                                                                                                      +32
                                                                                                      и теперь за вами следит блокировщик трафика :-)
                                                                                                        0

                                                                                                        Лёгкая паранойя, вполне нормальное явление. Количество пользователей, которые блокируют аналитику обычно не превышает 30%. Так что и у разработчиков есть достаточно данных для анализа и пользователи довольны.

                                                                                                          +1
                                                                                                          Если лень ковырятся глубоко — можно блокирующие днсы юзать.
                                                                                                          +3
                                                                                                          Есть этичные свободные приложения с того же F-Droid, которые просто делают свою работу, не запрашивают излишних разрешений, и даже работают оффлайн, там где это возможно, а не требуют доступ в сеть.
                                                                                                            +2
                                                                                                            Если вебвизор будет стоять на странице оплаты, где вводятся данные карты, то это большая проблема.
                                                                                                              0
                                                                                                              Стоял. И записывал. Действительно, можно было через вебвизор видеть, какие логин/пароль вводит пользователь. Но какое-то время назад Яндекс это пофиксил.
                                                                                                                –1
                                                                                                                Логин\пароль не так страшно, т.к. владелец имеет доступ к этим данным все равно. А вот данные карты — страшно, т.к. может быть сайт с каким-нибудь нормальным биллингом, который при этом будет собирать данные карт.
                                                                                                                  0

                                                                                                                  Шта? Нормальные девелоперы давно хешируют и солят пароли, так что даже они не знают их :/

                                                                                                              +5
                                                                                                              Лет 100 назад так же говорили про права рабочих и работодателей, и с тех времен произошли изменения: введены минимальная заработная плата, приняты дополнительные законы об охране труда.

                                                                                                              Думаю, что и в случае с приватностью, надо не привыкать, а изменять систему.

                                                                                                              Если компании нужно тестировать свое приложение на пользователях, пусть нанимают тестеров за бесплатные бургеры, а не используют людей в качестве подопытных свинок.
                                                                                                                +1
                                                                                                                Тут кто одеяло перетянет: если бы не потребность в узкоспециализированном высококвалифицированном труде, который позволил уже рабочим диктовать условия, то сейчас бы мы так и жили большинством в рабстве. Иногда возникает чувство, что благодаря информационным технологиям и глобализации ценность человеческой жизни снова падет…
                                                                                                                0

                                                                                                                Сами привыкайте, а мы будем резать.

                                                                                                                +15
                                                                                                                Вам уже на пикабу нормально ответили — что это вполне нормальное явление, которое не передает данные полей ввода, контролирует, чтобы отчеты шли через wifi и много другое, а так же соответсвует даже европейскому GDPR. Может все таки стоит больше изучать техническую часть, а делать желтые заголовки и громкие заявления.
                                                                                                                Кстати их прилождение одно из лучших в категории «Еда» — я их за последнее время десятки изучил.
                                                                                                                appsee — нужен для улучшения приложения, неужели Вы этого не понимаете?
                                                                                                                  +3
                                                                                                                  Не знаю, чем оно лучшее, оно глючное. Грузится долго, часть товаров вообще не даёт добавить в корзину (кнопка обавления неактивна).
                                                                                                                    –2
                                                                                                                    с точки зрения функциональности и подхода формирования заказа. Про стабильность ничего не могу сказать…
                                                                                                                      0
                                                                                                                      Так глючит-то его как раз из-за апси. Представляете, как он нагружает смартфон? Плюс ещё и трафик дико жрет. На своем приложении использовали по мере необходимости. Но отвал пользователей был адовый. Сейчас ребята российские похожий сервис двигают. Обещают, что влияние на работу смартфона минимальное. Будем тестить.
                                                                                                                      0
                                                                                                                      Только та же телеметрия в вебе приводит к массовой переделке сайтов в вид с 3 огромными словами и одной картинкой на весь многодюймовый монитор и необходимостью постоянно скролить. Не видно то есть никакого улучшения, видно какой-то ужасный идиотизм.
                                                                                                                        +5
                                                                                                                        я думаю это не с телеметрией связано, это скорее к трендам дизайна вопрос.
                                                                                                                          +3
                                                                                                                          Три огромные слова и картинка появились не из-за телеметрии, а из-за роста мобильного трафика, где это действительно выглядит в тему. И когда это лендинг, на котором минимум информации, то все хорошо и красиво. Проблемой это становится тогда, когда сайт где много контента делают в таком виде. Но увы, на мобильных иначе читать сложно.
                                                                                                                            0
                                                                                                                            Так делают же отдельные версии сайтов под мобильные браузеры. Зачем заставлять людей на десктопах видеть 3 слова и картинку на мониторе 27 дюймов фулл-хд?
                                                                                                                            Тот же вопрос банкам с таким же дизайном. Банки часто предлагают под смартфоны свои приложения и скорее всего мало кто будет уродоваться на смартфоне через браузер.
                                                                                                                              0

                                                                                                                              Банки приложения, конечно, предлагают. Но к остальным сайтам это имеет мало отношения. Глупо писать приложение, если не осилил мобильную версию — люди не будут ставить тысячу приложений, а значит небольшой сайт просто потеряет аудиторию. Разумнее уж мобильную версию допилить.

                                                                                                                                0
                                                                                                                                Потому что доля мобильного трафика больше половины, а разработка и поддержка двух версий стоит денег.
                                                                                                                            –18
                                                                                                                            Вам уже на пикабу нормально ответили — что это вполне нормальное явление, которое не передает данные полей ввода, контролирует, чтобы отчеты шли через wifi и много другое

                                                                                                                            Давайте по пунктам:
                                                                                                                            1. Данные полей не передаются только если отдельно указать что вот мол этот и этот TextField — Sensitive View. Там нет магии которая чудным образом узнает где же тут приватные поля и цензурит их.
                                                                                                                            2. Приложение BK не отдает информацию о подключении к WiFi / Cellular, а значит — не может контролировать это.
                                                                                                                            3. Про GDPR отвечу свои комментом выше:
                                                                                                                            Что же вы этот GDPR суете везде?
                                                                                                                            GDPR — глупый закон, который сам по себе ну никак не помогает в privacy regain, и это не показатель.

                                                                                                                            И напоследок:
                                                                                                                            Кстати их прилождение одно из лучших в категории «Еда»

                                                                                                                            Кстати, этот коммент совсем не рекламный!
                                                                                                                              +15
                                                                                                                              давайте по пунктам:
                                                                                                                              1. можно увидеть видео с пруфом что парметр не стоит?
                                                                                                                              2. не берусь судить, надеюсь тут найдутся люди, кто сможет подтвердить или опровергнуть.
                                                                                                                              3. GDPR — это ппц какое количество правил и указаний по защите персональных данных пользоавтеля — так что это показатель.
                                                                                                                              4. про оценку приложения — это мое личное мнение, как человека, который много исследует приложения в категории «Еда» на предмет фишечек и функционала. К бургер кингу я не имею ни какого отношения( я fullstack разработчик в «Европлан»- это лизинг)
                                                                                                                              Пока ваша статья выглядит — как победа параноика над здравым смыслом и желание пиара.
                                                                                                                                +4
                                                                                                                                GDPR — это ппц какое количество правил и указаний по защите персональных данных пользоавтеля — так что это показатель.


                                                                                                                                Ну и что толку, если соответствующее GDPR приложение пишет видео с экрана и отсылает левым людям?
                                                                                                                                  +2
                                                                                                                                  GDPR — это ппц какое количество правил и указаний по защите персональных данных пользоавтеля — так что это показатель.

                                                                                                                                  Я никогда не изучал этот момент, но подозреваю, что в России всегда были достаточно хорошие законы, защищающие окологосударственные БД. Как там сейчас, уже нельзя достать БД с паспортными данными граждан РФ?


                                                                                                                                  Так и GDPR. Он говорит как надо защищать и как будут наказывать, если этого не делать. Но все всегда вольны не делать и, возможно, огрести по всей строгости закона.

                                                                                                                                    0
                                                                                                                                    1. можно увидеть видео с пруфом что парметр не стоит?

                                                                                                                                    Таки логично запрашивать, наоборот, видео с пруфом, что он стоит.
                                                                                                                                    И не только видео.
                                                                                                                                      +1
                                                                                                                                      Так может стоило им написать и дождаться ответа, а не поднимать шум с желтыми заголовками?
                                                                                                                                    +3
                                                                                                                                    GDPR не глупый. Законодатель увидел, что компании не заинтересованы в охране персональных данных, что там начался дикий капитализм и пришел к выводу, что нужны юридические ограничения. С капиталистами по-другому никак.
                                                                                                                                      –1
                                                                                                                                      GDPR не глупый

                                                                                                                                      Ага не глупый. Он создаёт огромные затраты индустрии на соответствие закону, который всё-равно не будет работать. Думаете компании действительно будут удалять информацию пользователей по запросу? Это просто очередной налог и рост бюрократии, который оплатит в итоге потребитель.

                                                                                                                                      С капиталистами по-другому никак.

                                                                                                                                      Ну вот такими статьями как эта можно воздействовать, создавать институт репутации. Зачем распильные законы плодить?
                                                                                                                                        +2
                                                                                                                                        Вы плохо понимаете закон. Суть закона очень проста: персональные данные принадлежат не тому, кто их собрал, а пользователю. И охраняются законом. Вот и все.

                                                                                                                                        Если вы честный и порядочный бизнес, который уважает своего пользователя, то для вас с приходом закона скорее всего ничего не изменилось.

                                                                                                                                        > Думаете компании действительно будут удалять информацию

                                                                                                                                        думаю, крупные западные компании будут, так как Европа это не кучка аборигенов (или россиян), чье мнение можно проигнорировать.

                                                                                                                                        > Он создаёт огромные затраты индустрии на соответствие закону

                                                                                                                                        В чем затраты? Дописать код для замены по запросу в базе данных «Иванов Иван» на «Удален Удален»? Я уверен, что блестящие разработчики в IT-компаниях такую задачу за день максимум решат.

                                                                                                                                        Расскажите мне про затраты.

                                                                                                                                        Да, для кого-то, кто привык зарабатывать продажей персональных данных дата-брокерам, теперь стало труднее это делать. Пусть займутся чем-нибудь другим.

                                                                                                                                        >, создавать институт репутации

                                                                                                                                        Вот смотрите, у нас был период нерегулируемого оборота перс. данных, и к чему он привел? Только к утечкам, скандалам и злоупотреблениям. Где ваш институт репутации? Работает? Вы мне верующего напоминаете, а вместо слепой веры попробуйте посмотреть на нынешнюю ситуацию.

                                                                                                                                        Нет. Потому нужно отрегулировать эту сферу законодательно, так как другие механизмы не работают и мы скатываемся в дикий капитализм. Я хочу, чтобы можно было пользоваться любыми современными сервисами, но не жертвовать своей приватностью и не пополнять чьи-то базы данных. Кроме государства, это никто не обеспечит.
                                                                                                                                          0
                                                                                                                                          GDPR фактически делает использование блокчейна и прочие распределенных штук в коммерческих приложениях незаконными.
                                                                                                                                            +1
                                                                                                                                            Если вы не храните персональные данные в блокчейне (зачем??), то все законно.
                                                                                                                                            0
                                                                                                                                            Расскажите мне про затраты.

                                                                                                                                            Во всех крупных компаниях — создать и провести тренинги по GDPR, убедиться что сотрудники будут его соблюдать. Если проверок много — затраты на содержания армии бюрократов государством, затраты компаний на подготовку к этимпроверкам (в некоторых случаях коррупционые). Затраты на внутренние проверки, чтобы следовать закону — иначе платить штраф из-за Васи, который накосячил в функции удаления данных.
                                                                                                                                            Если проверок от государства почти нет — то закон ничего не меняет, для недобросовестных компаний, но осложняет жизнь добросовестным. Т.е. на конкурентном рынке хорошие компании будут проигрывать плохим.
                                                                                                                                            Сколько стоит отвлекать сотрудников от работы для информирования о GDPR, сколько стоит создание треннингов, сколько стоит для каждого онлайн сервиса создать соглашение о работе GDPR, сколько стоит готовиться к проверкам по закону, сколько стоит для каждого продукта компании отвлечь программистана дописать код для замены по запросу в базе данных «Иванов Иван» на «Удален Удален», сколько стоит постоянно проверять, что этот код работает правильно? Всё в сумме — большие деньги и много времени.

                                                                                                                                            Я хочу, чтобы можно было пользоваться любыми современными сервисами, но не жертвовать своей приватностью и не пополнять чьи-то базы данных. Кроме государства, это никто не обеспечит.

                                                                                                                                            Не нравится, что ваши данные используют — не пользуйтесь сервисом, у которого в соглашении написано, что он может их передавать третьим лицам. Государство может обеспечить лишь справедливый суд, то что не пополняются чьи-то базы не может обсепечить никакой закон. Всегда можно написать отдельный модуль, который шифрует данные и хранит на отдельном сервере, на случай проверки. Как тут поможет закон?
                                                                                                                                            Если заметили, что ваши данные утекают и это протеворечит соглашению — судитесь с компанией. Зачем GDPR?

                                                                                                                                            Вы плохо понимаете закон. Суть закона очень проста: персональные данные принадлежат не тому, кто их собрал, а пользователю.

                                                                                                                                            То что там так написано — не значит, что оно так будет работать. Кто-то будет шифроваться, кто-то даст взятку, кто-то просто забьёт на соблюдение закона. Соблюдать будут только те, кто и до этого не торговал данными, только теперь им придётся ещё больше ресурсов тратить на это.
                                                                                                                                            0
                                                                                                                                            Мы удаляем, все полностью, даже обезличенный user_id и со своих партнеров контент провайдеров требуем удалять
                                                                                                                                          0
                                                                                                                                          Данные полей не передаются только если отдельно указать что вот мол этот и этот TextField — Sensitive View.

                                                                                                                                          Доказательства, что в приложении БК поля ввода ПД — не установлены как Sensitive View?
                                                                                                                                          Приложение BK не отдает информацию о подключении к WiFi / Cellular, а значит — не может контролировать это.

                                                                                                                                          Опять же, доказательства? Да и проверить это можно по маршруту легко, диапозоны ip провайдеров мобильного интернета известны давно и находятся в свободном доступе.
                                                                                                                                          GDPR — глупый закон

                                                                                                                                          Это отменяет необходимость его соблюдения, и соответствие ему предмета обсуждения? Или вы у нас поклонник подхода «мне не нравится этот закон, я не буду его соблюдать»?
                                                                                                                                            +1
                                                                                                                                            А на каком основании он должен доказывать, а вы не должны? Вы(вернее автор заглавного коммента) утверждали, что что-то есть, а автор стать то, что этого нет. Как минимум доказывать должны оба, а по правилам должны доказывать вы.
                                                                                                                                            0
                                                                                                                                            2. чтобы контролировать подключение к WiFi / Cellular эту инфу как раз и не надо передавать. Приложение само (на стороне клиента) может узнать эту информацию от OS API и решить — передавать ли видос или нет. Так что тут все ровно
                                                                                                                                            +6

                                                                                                                                            Всё это не должно работать на странице ввода чувствительных данных и точка.


                                                                                                                                            Либо не записывать данные вообще, либо в какой-то момент заблюренные этим алгоритмом области могут научиться восстанавливать. А если это sdk не блюрит, а вырезает куски экрана с видео, то в какой-то момент может произойти ошибка и данные не будут вырезаны. Может даже ошибка не на стороне разработчиков sdk: телефонов на android куча, многие производители модифицируют ОС под себя и грабли могут оказаться там, где их не ожидали.

                                                                                                                                              +4
                                                                                                                                              Это должно работать на специально нанятых людях-тестерах. Если приложение рекламирует себя как приложение для заказа бургеров, то оно этим и должно заниматься, а не записывать тайком видео с экрана.

                                                                                                                                              Тестировать должны тестеры, а не случайные пользователи.

                                                                                                                                              Есть такое понятие, как «expectation of privacy». Мы ожидаем, что когда мы смотрим каталог бургеров, никто не заглядываем нам в телефон через плечо.
                                                                                                                                                0
                                                                                                                                                Почему же тайком? В Terms of Use, которые необходимо принять для регистрации, всё это написано, что пользователь даёт согласие на сбор всевозможной статистической и аналитической информации (не содержащей персональных данных) всеми доступными способами, которые не противоречат действующему законодательству.

                                                                                                                                                Я понимаю, что никто их не читает и все ставят галочку акцепта на автомате, но вот возмущаться потом из-за этого — как минимум странно.
                                                                                                                                                  0
                                                                                                                                                  Это же типичная капиталистическая уловка: следить за людьми нельзя, а давайте пропишем это где-нибудь в глубине ToS, который никто не читает, и будем следить.

                                                                                                                                                  Нет, так не должно быть. Человек, пользуясь приложением, не ожидает, что кто-то будет стоять у него за плечом и смотреть в экран.

                                                                                                                                                  Представьте, если все начнут пользоваться такими уловками. Вы приходите к врачу, он вам говорит: вот дорогое лекарство, которое поможет вам в лечении. А в договоре мелкими буквами написано: согласно научным исследованиям, витамин C повышает сопротивляемость организма и повышает шанс выздоровления, потому вы согласны считать его лекарством. Вы приходите в автосалон, а там в договоре написано: предоплата в размере 30% не входит в стоимость машины, а лишь является оплатой работы по демонстрации автомобиля. Вы приходите в ресторан, а там в конце меню написано: «сделав заказ в нашем ресторане, вы соглашаетесь на пожизненную ежемесячную оплату в размере XXX р». Вы устраиваетесь на работу, а в внутреннем распорядке компании (нет, не в трудовом договоре) написано: «если работник не успел сделать задачу за отведенное руководителем время, для компенсации причиненного убытка следующие 12 месяцев он обязан работать по 12 часов в сутки. Работодатель имеет право менять Внутренний Порядок без предварительного уведомления».
                                                                                                                                                    +3
                                                                                                                                                    Я всё равно не понимаю, в чём слежка-то заключается? Снимают не вас, снимают даже не экран устройства в целом, просто приложение записывает себя же, запись других приложений не ведётся.

                                                                                                                                                    Да и вообще, а если бы ваши действия в нём не записывались на видео а просто тщательно логировались в текстовом виде и отправлялись на сервер — вам было бы спокойнее?
                                                                                                                                                      +5
                                                                                                                                                      Этот товарищ политрук вообще не про слежку тут речи толкает. А про то, что капитализм это плохо. А есть там слежка или нет её — это неважно, главное, что есть повод залезть на броневичок.
                                                                                                                                              +17
                                                                                                                                              Самое ненормальное во всем этом явлении то, что многие люди уже считают это нормальным. Ну подумаешь в спальню залезли… но это же поможет производителю кроватей улучшить свой продукт! Попутно поделившись данными о твоей частной жизни с парой десятков «партнеров».
                                                                                                                                                +1
                                                                                                                                                Это Вы еще про Google не знаете.
                                                                                                                                                  +3
                                                                                                                                                  В какую спальню?? Максимум залезли в камеры в своем же магазине, когда вы там были, и посмотрели, что там люди делают.
                                                                                                                                                    0
                                                                                                                                                    Телефон принадлежит юзеру, а не им. Следовательно, территория юзерская.
                                                                                                                                                      –1

                                                                                                                                                      Приложение пренадлижит не юзеру, а бургер кингу. Территория их. Это как если бы магазин вел статистику, где трудней всего ходить и где больше всего спотыкается народ

                                                                                                                                                        +2
                                                                                                                                                        Совсем там все упоролись в вашем 21 веке с подменой понятий.
                                                                                                                                                        Но в нормальной системе логики главный на устройстве — компьютере, телефоне, автомобиле, холодильнике, чем угодно — его хозяин.
                                                                                                                                                    0
                                                                                                                                                    Только почему ваша спальня находится в здании бургер кинга, а люди из бургер кинга во время вашего отсутствия спокойно переделывают интерьер вашей спальни и вы совсем не против? :)
                                                                                                                                                    0
                                                                                                                                                    Чтобы улучшать приложение, необязательно использовать пользователей в качестве подопытных свинок. Можно нанять тестеров (например за бесплатный бургер) и тестировать на них.
                                                                                                                                                      +3
                                                                                                                                                      так получается что они собственно так и делают
                                                                                                                                                        0
                                                                                                                                                        А вы приложение поставили не ради промокодов?
                                                                                                                                                          0
                                                                                                                                                          Даже если ради промокодов — пусть честно скажут, что они собирают в обмен на промокоды. Честная сделка происходит тогда, когда оба участника знают ее полные условия. А когда один участник обещает «бесплатные промокоды», и скрывает, что он заберет взамен — они находятся в неравных условиях.
                                                                                                                                                            0
                                                                                                                                                            Чисто из любопытства, вы как себе это представляете?

                                                                                                                                                            Ну, например, ролик по телевизору
                                                                                                                                                            «Яндекс. Найдётся всё!
                                                                                                                                                            В обмен мы продаём вас рекламодателям, для чего собираем:
                                                                                                                                                            — ваши поисковые запросы
                                                                                                                                                            — видео с экрана
                                                                                                                                                            — …
                                                                                                                                                            — …
                                                                                                                                                            — …
                                                                                                                                                            — …
                                                                                                                                                            — …
                                                                                                                                                            [62 пункта вырезано]
                                                                                                                                                            — …
                                                                                                                                                            »
                                                                                                                                                              0
                                                                                                                                                              Найдётся всё — и вы найдёте, и вас найдут.
                                                                                                                                                        +5
                                                                                                                                                        А вот меня не устраивает сам факт записи действий.
                                                                                                                                                        И меня совершенно не должно волновать, что это «способ улучшить качество продукта», да е*** вы конём, вы с доходов улучшайте продукт.

                                                                                                                                                        Для меня это на уровне «мы улучшаем качество унитазов через видео записи из туалета, но не волнуйтесь, мы замажем ваш писюн». Вот по мне 1 в 1 ситуация.
                                                                                                                                                        0

                                                                                                                                                        Я могу написать приложение, которое будет снимать вас в туалете, при этом маскироваться под видеочат к примеру. Вы позволите себя снимать? Обещаю, оно будет лучшим в категории "извращения". А снимать оно будет естественно только для улучшения своей статистики) Поставите?)

                                                                                                                                                        +10
                                                                                                                                                        Вы открыли для себя сервис сбора статистики для мобильных приложений. Установлен флаг DetectCrashes (обычно видео используется для выяснения, что привело к падению приложения). Полистав сайт, можно увидеть, в каких приложениях еще используется этот сервис.

                                                                                                                                                        видео записывается даже тогда, когда вы указываете данные своей банковской карты
                                                                                                                                                        Это действительно так?
                                                                                                                                                          +10
                                                                                                                                                          Нет, конечно. Просто пользователи Пикабу открыли для себя дивный мир мобильной аналитики.
                                                                                                                                                            +3
                                                                                                                                                            Самое смешное, что это не заставит их перестать пользоваться мобильным приложением самого Пикабу, которое содержит:

                                                                                                                                                            — Google measurement
                                                                                                                                                            — Google Ads
                                                                                                                                                            — Appsflyer analytics/tracking
                                                                                                                                                            — Clevertap analytics/tracking
                                                                                                                                                            — io.branch.sdk metrics/analytics
                                                                                                                                                            — Yandex metrica/ads
                                                                                                                                                            — io.fabric.sdk metrics/analytics
                                                                                                                                                            — сервис аналитики самого Пикабу
                                                                                                                                                            — Google login (GooglePlus login)
                                                                                                                                                            — Twitter login
                                                                                                                                                            — Facebook login
                                                                                                                                                            — VK login
                                                                                                                                                            — Crashlytics

                                                                                                                                                            Последние пункты делают хоть что-то полезное, а остальное нужно лишь для анализа поведения пользователя и показа рекламы. Но поста про это на самом Пикабу никогда не будет, верно?
                                                                                                                                                              0
                                                                                                                                                              А если копнуть в настройки приватности гугла и вообще в его сервисы на Android, то придется переходить на кнопочные телефоны 2000х годов… У большей части юзеров пишется история передвижений, интересно, как они на это отреагируют?
                                                                                                                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                                                  0
                                                                                                                                                                  Смотря каких.
                                                                                                                                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                                                  0
                                                                                                                                                                  Я вам щас открою страаааашную тайну.
                                                                                                                                                                  Есть Андройд смартфоны на чистом AOSP которые за тобой не следят.
                                                                                                                                                                    0
                                                                                                                                                                    Ничего подобного. Возьмите билд андроида, запустите на qemu каком-нибудь и посмотрите трафик.
                                                                                                                                                                      0
                                                                                                                                                                      В чистом андройде нет google api и он ничего не отправляет.
                                                                                                                                                                        0
                                                                                                                                                                        Учитывая то, кто у нас вендор Андроида, ваше утверждение выглядит крайне сомнительно.
                                                                                                                                                                          –1
                                                                                                                                                                          О, анаэробная форма жизни, давно не виделись!
                                                                                                                                                                          На вашей планете что, и Андроид другой?
                                                                                                                                                                          Если серьёзно, в чистом Андроиде нету 3 китов гугла: Market, Services и API, по сути без них Андроид с Гуглом не связан вообще никак.
                                                                                                                                                                          Ещё можете посмотреть на replicant.us
                                                                                                                                                              –8
                                                                                                                                                              обычно видео используется для выяснения, что привело к падению приложения

                                                                                                                                                              Видео прямым потоком лилось на сервак AppSee, только вот приложение у меня ни разу не падало.
                                                                                                                                                                +2
                                                                                                                                                                Хотелось поинтересоваться, как вы предскажете краш вашего приложения и за несколько секунд до этого начнете запись экрана? Скорее всего все происходит в онлайне по вполне конкретным причинам. Я за privacy и все такое, но тут обычный хайп, как было недавно с efail.
                                                                                                                                                                  +3
                                                                                                                                                                  Хотелось поинтересоваться, как вы предскажете краш вашего приложения и за несколько секунд до этого начнете запись экрана?
                                                                                                                                                                  Писать видео всегда, но отправлять только небольшой кусок до момента краша при повторном запуске приложения.
                                                                                                                                                                    –1
                                                                                                                                                                    Насколько такой кусок должен быть небольшим и как вычислить его продолжительность? Ведь бывают совсем неочевидные баги. То, что вы сделали 1000 раз, может не завестись на 1001.
                                                                                                                                                                      0
                                                                                                                                                                      К тому же, тут уже ответили, что это так же может быть полезно для улучшения UI/UX.
                                                                                                                                                                        +1
                                                                                                                                                                        В том и дело, основная цель AppSee — это обратная связь для улучшения интерфейса. Именно поэтому, с точки зрения AppSe, видео резать нет смысла — для анализа нужны все действия пользователя, начиная от первого запуска приложения. Не понимаю, как получилось, что во многих комментариях в этой теме разговор перетек в отлавливание багов, т.к. это уже дополнительная фича, которая скорее случайно поддерживается просто потому что реализация основной цели сервиса AppSee уже предоставила весь функционал.
                                                                                                                                                                          0
                                                                                                                                                                          Я привел пример краша, потому что автор говорит о записываемом видео. На сайте appsee говорится, что видео используется для краш репортинга. Поправьте, пожалуйста, если я не прав.
                                                                                                                                                                            0
                                                                                                                                                                            Если посмотреть видео с главной страницы youtu.be/QY2yCRnWx-A, то я бы его больше проинтерпретировал так: «AppSee помогает вам отследить поведение пользователей, и найти слабые места в интерфейсе вашего приложения. В том числе вы можете отслеживать краши». Просто я не понимаю, как может взлететь сервис, который занимается крашами — потому что тут ничего инновационного нету, с багами все бороться давно умеют, а вот анализ интерфейса — это другое дело, такого мир мобильных приложений, по-моему, еще не видел. Я веду к тому, что основная цель AppSee все таки нахождение слабых мест в интерфейсе, а не помощь в дебаггинге.
                                                                                                                                                                    0

                                                                                                                                                                    Например, как это сделано в камерах видеонаблюдения. Существует буфер предзаписи, и если что-то случается, то видео пишется на диск. Так и тут модно что-то подобное реализовать и отсылать видео непосредственно с крашем приложения.


                                                                                                                                                                    А вообще, ИМХО, слать в прямом эфире видео и ни слова про это видео не говорить это не есть хорошо. Если надо постоянно следить за приложением, то как уже выше говорили, нанимайте тестеров и давайте им отдельное приложение, а не тратьте трафик пользователей, которые на это не соглашались.

                                                                                                                                                                      –4
                                                                                                                                                                      пользователей, которые на это не соглашались
                                                                                                                                                                      Ну вообще-то соглашались, подтверждая при регистрации прочтение и полное согласие с terms of use, где всё это упоминается.
                                                                                                                                                                        +16
                                                                                                                                                                        Да пошли вы нахрен со своими terms of use и privacy policy, это уже реально смешно, хватит защищать подобные вещи! Вы сами-то внимательно читаете все до одного terms of use приложений и сервисов, которые используете? А если в terms of use будет написано «Нажимая Продолжить вы соглашаетесь пожертвовать своё правое яичко обществу борьбы с социальным неравенством» — вы тоже будете радостно хавать это и говорить «Ну что же, это ведь для борьбы с социальным неравенством, да и в terms of use прописано!»?
                                                                                                                                                                        Любой подлости или злодеянию можно найти оправдание. Всякие там метрики и поиск багов меня как пользователя не интересуют, а вот слежение, даже оговоренное в terms of use, не очень. Цитата из «Незнайки на луне» хорошо подходит: «Какая мне разница, как меня обворуют, по закону или не по закону?»
                                                                                                                                                                          0
                                                                                                                                                                          Не забывайте также, что за вами следят:
                                                                                                                                                                          — десятки видеокамер стационарного видеонаблюдения
                                                                                                                                                                          — сотни видеорегистраторов
                                                                                                                                                                          — Крупные магазины (тем боле те, в которых используете дисконтную карту)
                                                                                                                                                                          — Браузеры/поисковые системы/провайдеры
                                                                                                                                                                          — мобильные операторы
                                                                                                                                                                          — утка (в случае, если у вас анатидаефобия)
                                                                                                                                                                          — госстуктуры (ГИБДД, таможя, налоговая, военкоматы)
                                                                                                                                                                            +4
                                                                                                                                                                            И что? Поймите одну вещь, даже если что-то происходит, происходит постоянно, происходит неизбежно и происходит по закону — это не говорит о том, что это норма. Избитый пример, но всё же упомяну — евреев в Третьем рейхе тоже по закону сжигали.
                                                                                                                                                                              0

                                                                                                                                                                              Избитый. Очень. Я понимаю, что любая дискуссия сводится в конце концов к Гитлеру, но все же не нужно приравнивать написанное выше к Холокосту. Различайте понятия слежки за поведением абстрактного пользователя и слежки за каждым конкретным человеком.
                                                                                                                                                                              И да, тогда уже и избитая мысль с моей стороны — если вам не нравится закон — это повод попробовать изменить закон. А не устраивать луддизм.

                                                                                                                                                                                +1

                                                                                                                                                                                Слежка за поведением абстрактного пользователя — это так же отвратительно. От того, что там прописано в законе, это не становится хорошим действием. В законах пока не пишут, что исполнять их нужно с энтузиазмом или что с законом нужно внутренне соглашаться. Почему лично вам слежка нравится и вы её защищаете, не ясно. Дело ваше, но другим она нравиться не обязана.

                                                                                                                                                                                  0
                                                                                                                                                                                  Не защищаю, а пытаюсь объяснить, зачем это делается и где это происходит. Судя по ажиотажу значительная часть присутствующих в треде имеют очень смутное представление об аналитике вообще и ее методах в частности.
                                                                                                                                                                                  И позвольте мне самому решать, что мое дело, а что нет.
                                                                                                                                                                                    +1

                                                                                                                                                                                    Конечно позволяю. Так и написал, ваше отношение к слежке — дело ваше, вам решать. Люди, даже если и не очень технически подкованы, просто хотят, что бы за ними меньше следили. Хоть по закону, хоть без. Вполне понятное желание.

                                                                                                                                                                                      0
                                                                                                                                                                                      Хотят. И оставляют терабайты информации в соцсетях :)
                                                                                                                                                                                      Люди — странные животные
                                                                                                                                                                                        +3

                                                                                                                                                                                        Ничего странного. Оставляют по собственному желанию. А скрытый сбор — он скрытый. Вполне логично и естественно иметь возможность рассказать о себе то, что хочешь (в т.ч. и в соцсетях), но при этом что бы скрыто ничего не собиралось.

                                                                                                                                                                            –4
                                                                                                                                                                            Вы сами-то внимательно читаете все до одного terms of use приложений и сервисов, которые используете?
                                                                                                                                                                            Честно говоря, нет. Но и возмущаться не буду, если вдруг окажется, что из-за своей же лени я упустил что-то важное в этих самых terms of use.
                                                                                                                                                                            А если в terms of use будет написано «Нажимая Продолжить вы соглашаетесь пожертвовать своё правое яичко обществу борьбы с социальным неравенством»
                                                                                                                                                                            То этот пункт будет противоречить действующему законодательству и поэтому будет признан недействительным.
                                                                                                                                                                            а вот слежение, даже оговоренное в terms of use
                                                                                                                                                                            Тут в комментариях многие уже писали про нарушение приватности и слежку, но никто так и не смог ответить на простой вопрос: в чём заключается-то это самое нарушение приватности пользователя и слежка за ним в целом, ведь приложение снимает свой же собственный экран, записи других приложений не ведёт, равно как попыток записать пользователя через фронтальную камеру. Или для вас слежка — любая фиксация приложением действий пользователя в нём? В таком случае непонятно, почему же текстовое логирование каждого действия пользователя в приложении не вызывает подобного ажиотажа.
                                                                                                                                                                              0
                                                                                                                                                                              Что значит «противоречить действующему законодательству»? Где-то в законодательстве прописан запрет на пожертвование яичек? Ладно, это шутейки всё и приписано только для демонстрации абсурдности ситуации, но в действительности в Terms of use может быть прописано и что-то не противоречащее законодательству, но для вас крайне неприятное, уж поверьте, фантазии юристов нет предела.
                                                                                                                                                                              А кто сказал, что текстовое логирование каждого действия пользователя в приложении не вызывает ажиотажа? Если приложение без моего ведома что-то пишет и что-то куда-то шлёт — я буду возмущаться точно так же. Я совершенно не против багрепортов и отлично понимаю их полезность, но как-то привык к тому, чтобы приложение спрашивало меня перед тем, как их куда-то отправлять.
                                                                                                                                                                                –2
                                                                                                                                                                                Если приложение без моего ведома что-то пишет и что-то куда-то шлёт — я буду возмущаться точно так же
                                                                                                                                                                                С таким подходом вам не стоит пользоваться никакими мобильными приложениями, да и смартфонами тоже. И десктопными ОС также. Ведь все они что-то постоянно логируют и отсылают без вашего ведома.
                                                                                                                                                                                  0
                                                                                                                                                                                  с таким подходом ни стоит пользоваться телефоном как и любым другим средством связи. все же пишется и по закону.
                                                                                                                                                                                    0
                                                                                                                                                                                    Дебиан ничего не отсылает.
                                                                                                                                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                                                                  0
                                                                                                                                                                                  > То этот пункт будет противоречить действующему законодательству и поэтому будет признан недействительным.

                                                                                                                                                                                  ну хорошо, пусть там будет пункт о пожизненной неотзываемой ежемесячной плате в размере 100 долларов. Если вам не нравится — не устанавливайте приложение, а раз установили — надо платить.