Burger King и тайная запись экрана вашего телефона

UPD2:
Сделал второй пост с доказательствами и опровержением заявлений Burger King. Читать здесь.

UPD:
fennikami
Я предоставил видео-доказательство того, что поля ввода данных (в том числе — банковских карт) не скрываются + видео отправляется каждый раз при запуске (в чем вы сами можете убедиться, отследив трафик приложения).
Таким образом я имею опровержение официального ответа Burger King о том, что «личная информация скрыта» и того, что якобы используется выборка на 10% пользователей.

Стоит отметить, что ни в одном из официальных видео Burger King (где они якобы демонстрируют скрытие личных данных) не показано меню привязки банковской карты.
В этом видео оно показано.

Также хочу отметить, что после публикации оргинального расследования — на мой блог начались хакерские атаки (брутфорс админки, поиск эксплоитов, попытка DDoS).

Я готовлю второй пост на эту тему.
Stay tuned, больше информации — в моем блоге.


Привет, Хабр! Мне 18 и я бородат в свободное время ковыряю разные приложения. Сегодня мои руки дошли до распиаренного и популярного приложения Burger King (того самого, где «бургер — бесплатно», «наедалово» и промокоды для друзей).

Запускаю их приложение, наблюдаю за трафиком. И тут обнаруживаю это:

image

Что это такое? Если нет идей, смотрите под катом.

UPD:
3amynoK
Я бы сказал они ходят по офигенно тонкому льду. Я вижу тачи — переходы между полями, но тапов по клавиатуре я не нашел в их данных. yadi.sk/d/tjxg2OJ83Z6YB8 Я снова зашел на форму, ввел в номере карты 123456… Что я вижу так это открытие формы карты «BurgerKing.PYCardInput»,«s»:132000 где s это время, потом смотрел все тачи TouchEvents с этого времени и отметил их на скрине. Actions значения смутили, там есть «h»:216 что есть высота клавиатуры и там какие то события с «i» подряд 1, 2, 4. Я думаю это выбор даты срока карты при выборе в барабане.
UPD модератора Хабра:
Мы связались с участниками истории и получили комментарии — следите за ними в нашей статье.

А это запрос от приложения к серверу (сверху) с информацией вроде его версии, модели телефона, времени запуска, разрешении дисплея. Вроде бы все нормально, но…

В ответ телефону приходит информация (снизу) о том, как записывать видео с экрана.

Причем, параметр MaxVideoLength (максимальная длина видео) указан как «0», что значит — бесконечная запись (пока приложение запущено).

Т. е. — приложение не просто записывает экран, а делает это непрерывно, и ровно таким же образом непрерывно отсылает запись на сервер. Пользователи мобильного интернета (то есть почти все) такую «фичу» оценили, думаю.

Запись экрана передается как обычный *.mp4-поток:

image

Обратите внимание на адрес *.appsee.com/upload (AppSee — это видео-метрика для приложений) слева и сам файл *.mp4 справа (в заголовке информация о кодировании, чуть ниже — сам *.mp4).

Ну и вишенка на торте: экран записывается даже тогда, когда Вы вводите данные своей банковской карты в приложении (и это необходимо для осуществления заказа). Заметьте, все данные.

И финальная вишенка: мало того, что записывать экран — весьма сомнительное занятие, так еще к записанным видео имеют доступ не только разработчики приложения Burger King, но и различные партнеры AppSee (то есть — совершенно левые люди с неизвестными намерениями), да и сам AppSee тоже.

Напомню — видео записывается даже тогда, когда вы указываете данные своей банковской карты. И к нему имеют доступ кто попало.

Вот так выглядит само видео:

image

P.S.: да-да, вы могли читать этот пост в похожем виде на другом сайте, но такому бургер-огню явно место на Хабре. Надеюсь на понимание всех и НЛО.
Поделиться публикацией
Ой, у вас баннер убежал!

Ну. И что?
Реклама
Комментарии 470
    +6
    А как вы просниффали траффик. Он не шифруется?
      –2
      Судя по интерфейсу это Fiddler. Скорее всего запущен эмулятор Андройда с ПК.
        +21
        Подмена сертификата во время перехвата трафика. Cert pinning нет.
          –41

          Парень, а шаг с установкой Fiddler CA в систему ты пропустил? К чему твои повторяющиеся "нет certificate pinning"? Ты понимаешь вообще, для чего нужен CP или просто услышал где-то, что это круто (полагаю, CP мешает тебе "ковырять приложения" и вызывает чувства сходные с благоговением — это ведь магия, раз фиддлером не поснифать трафик!)? В браузерах его в принципе нет, но что-то никто на эту тему не парится, но при этом люди спокойно вводят данные своих кредиток.

            +1
            это на пикабу в комментариях сказали просто <_<
              +3
              Что значит «повторяющиеся нет certificate pinning»? Где еще они повторяются?
                +3
                В браузерах его в принципе нет

                А это не оно? en.wikipedia.org/wiki/HTTP_Public_Key_Pinning
                  +1
                  Это труп, который не работает.
                  –4

                  Да ладно, молодой кулхацкер нашел первую более менее нормальную "фичу" в своей жизни, расфорсил её, даже сделал свой мини блог под это дело) так бывает с кулхацкерами) простим ему это

                  0
                  Это таки Fiddler?
                +6
                Подобных мерзостей от этой компании и ожидал, поэтому не доверил им даже номер телефона.
                Кто-нибудь знает, возможно ли в условиях российской действительности устроить для компании какие-нибудь проблемы и вообще ответственность за подобное поведение?
                  +9
                  Запросто. Запостить на реддит.
                  –36
                  Каких мерзостей? Человек залез в код, удалил сертификат, запустил приложение на эмуляторе. О чем речь? Вы осознаёте, что любой код можно переписать так, чтобы в него можно было вмешиваться?
                    +27
                    Как удаление сертификата оправдывает слежку за экраном пользователя без его ведома?
                      –6
                      Вы определитесь куда камнями кидать уже. Или в отсутствие шифрования, или в уязвимость, или в запись экрана.
                        0
                        Прошу прощения, не уловил тред про открытое соединение.
                          +2
                          В запись экрана, офк
                            +2
                            А кто тут кидается камнями в отсутствие шифрования? В упор не вижу…
                              +1
                              Не валяйте дурака :)
                              Что плохого в бросании камней за всё?
                            +3
                            Я ничего не удалял, если что.
                            +13
                            Вот-вот, меня удивляет, у нас ведь по закону запрещено скрытое наблюдение, и даже покупка устройств для этого, а тут компания устраивает скрытую запись экрана пользователя. Было бы конечно хорошо, если какой-нибудь РКН взбесился и хоть раз сделал бы что-то полезное. Пусть разработчики испытают на себе то же, что и люди, заказывающие ручки с видеокамерой.
                              0
                              Пользователь сам дает согласие на такую запись. ToS никто не отменял — еще скажите, что Windows не предупреждает, что следит)
                              p.s. " люди, заказывающие ручки с видеокамерой" — это зона ответственности не РКН, а ФСБ)
                              А так любой желающий может накатать жалобу РКН на Бургер Кинг, но ответ будет очевидным — с точки зрения бумажного законодательства все четко, вы сами соглашаетесь с условиями использования приложения, а технически РКН не проверит так ли честны разрабы или нет.
                                +12
                                Есть же простое и этичное решение проблемы. Показать при первом запуске приложения попап с иконкой видеокамеры и надписью: «В целях улучшение приложения мы бы хотели вести видеозапись вашей активности в нем. Разрешить? Да/нет».

                                Почему они так не делают? Потому, что они не хотят, чтобы 1) у пользователя был выбор 2) он вообще об этом знал.

                                Это неправильно, должно быть наоборот.

                                То, что вы предлагаете — «читать ToS» — это предложение жить в мире, где все пытаются друг друга обмануть и перехитрить. Где приходя в ресторан или гостиницу, вам придется прочитать целиком все юридические документы (а вдруг там написано, что вы обязаны потом пожизненно им платить за один раз оказанную услугу), где вам придется в автосалон или на собеседование на работу ходить с юристом (там вообще куча вариантов обмана). Где честный бизнес не может соревноваться с наперсточниками.

                                Мне это не нужно. Мне нужен мир, в котором я могу пользоваться любыми приложениями и услугами, и знать, что они не будут следить за мной, а если попытаются, то их настигнет карающая рука закона. Где торговцев персональными данными преследуют сильнее чем торговцев наркотиками.
                                  –3

                                  Напомнить про Яндекс, Гугл, Майкрософт?

                                  +3
                                  > вы сами соглашаетесь с условиями использования приложения
                                  т.е. по-вашему туда можно написать все что угодно и законодательно это будет ОК, потому что нажали соглашение?
                                  +5
                                  Как бы — AppSee в том числе для этого и предназначена. Как и например — TestFairy.
                                  Оно полезно при разработке.
                                  Другое дело что вменяемые разработчики на экранах вроде вводе данных кредитки — выключают запись. Да и вообще используют такие вещи на альфа/бета-версиях.
                                  У AppSee же — Which sessions will be video recorded?
                                  Appsee automatically selects the sessions to record in order to provide a sufficient sample of your users. You can also manually select which sessions will be video recorded.

                                  Ну с другой стороны — считают что эти данные им нужны для отладки. А вы с этим — согласились (хотя вот ОЧЕНЬ интересно — если утекут номера кредиток через AppSee — Бургеркинг готов отвечать за это?).

                                  p.s.
                                  Сейчас пишу приложение, номеров кредиток там и близко нет (как и медицинских например данных) но есть данные которыми возможно пользователи не захотят делится даже с другими пользователями (сколько и за что они заработали).
                                  В лог пишется в том числе весь сетевой (расшифрованный) сетевой обмен, при сбоях — последние несколько десятков килобайт логов — улетают в Crashlytics.
                                  Не раз выручало при выяснении что не так.
                                  Но если таким способом что-то секретное утечет через нашу компанию — сначала этот клиент по шее даст компании, а и мне (или другим разработчикам с доступом) прилетит. NDA подписаны и там санкции прописаны.

                                    0
                                    Мне кажется, что сервисы типа AppSee и TestFairy в целом предназначены в первую очередь для тестовых сессий (например, тестировщик случайно крашнул приложение, а потом по видео смог восстановить свои шаги), а не для массового использования в проде.
                                +8
                                А выложи-ка само видео? Кстати, ты говорил, что оно еще и прикосновения пишет параллельно?
                                  +16
                                  У него нет такого видео. Автор просто соврал. На Пикабу эту историю успешно схавали. Если тут тоже схавают без фактчека — будет смешно.

                                  appsee блюрит поля ввода. Так что данные карты не видны.

                                  image
                                    +3
                                    AppSee замазывает поля только если это указать отдельно.
                                      +11
                                      Да именно так. Вы проверили что в приложении BK они не замазываются? Или это из серии «а если бы вот они не замазывали — они бы получили данные»
                                        +6
                                        А что даст эта проверка, если настройку в любой момент может изменить как эксплуататор приложения, так и злоумышленник, неправомерно получивший доступ к его системе, либо подменивший JSON, прилетающий программе с сервера?
                                      –1
                                      И… Это всё, что Вы можете на это сказать? Что сервис записи видео замазывает поля ввода?

                                      А то, что программа заказа бургеров без разрешения и огласки записывает экран — это, типа, нормальное поведение?!

                                      Данный функционал должен быть отражен в списке разрешений. Чтобы я его мог отключить.
                                        +30
                                        А Хабр использует Яндекс метрику с флагом webvisor:true и тоже нигде об этом не пишет.
                                        Скорее закрывайте браузер!

                                        *сарказм*
                                          –5
                                          Скорее принимайте законы о защите приватности :)
                                            +5
                                            Уже приняли закон о отмене приватности, сарян.
                                            0
                                            Вот поэтому я и не использую приложения, а только сайты. На сайте я могу порубить всю эту оналитику.
                                              0
                                              В приложении тоже можно порубить «оналитику», если, например, использовать свой DNS.
                                              0
                                              Да, а потом Хабр просит не юзать Адблок. Да и вообще если Хабр это делает, это не значит, что Бургер тоже это делать может.
                                                0
                                                А аналитику рубит не Адблок, а Ghostery и подобные приложения про них Хабр ничего не просит.
                                                  0

                                                  Ну ublock вроде как блочит аналитику. Хотя нужно это узнать точно.

                                                    +1
                                                    Блочит.
                                                    EasyPrivacy
                                                    [Adblock Plus 1.1]
                                                    ! Version: 201807170422
                                                    ! Title: EasyPrivacy
                                                    ! Last modified: 17 Jul 2018 04:22 UTC
                                                    ! Expires: 4 days (update frequency)
                                                    ! Homepage: easylist.to
                                                    ! Licence: easylist.to/pages/licence.html
                                                    !
                                                    ! Please report any unblocked tracking or problems
                                                    ! in the forums (https://forums.lanik.us/)
                                                    ! or via e-mail (easylist.subscription@gmail.com).
                                                    !
                                                    ! -----------------General tracking systems-----------------!
                                                    ! *** easylist:easyprivacy/easyprivacy_general.txt ***
                                                    &action=js_stats&
                                                    &callback=hitStats_
                                                    &ctxId=*&pubId=*&clientDT=
                                                    &ctxId=*&pubId=*&objId=
                                                    &event=view&
                                                    &http_referer=$script
                                                    &pageReferrer=
                                                    &ref=*&tag=
                                                    &refer=http$script
                                                    &refererPageDetail=
                                                    &trackingserver=
                                                    -AdTracking.
                                                    -analitycs//fab.
                                                    -analitycs//ga.
                                                    -analitycs//metrica.

                                                    /yandex-metrica-watch/*
                                                    /yandex-metrika.js
                                                    /yastat.js

                                                    ||yandex-metrica.ru^$third-party

                                                    ||an.yandex.ru^

                                                    ||mc.yandex.ru^
                                                    … итд
                                              +15
                                              если вы почитаете ToS BK, то увидите что вы даете разрешение на доступ к этим данным. И с добрым утром, такая телеметрия есть в любом продвинутом приложении. Хорошо это или плохо — это отдельный вопрос.
                                              Но автор несет чушь.
                                              — Утверждает, что AppSee может слить эти данные — но в PP сервиса указано, что доступ к этим данным имет толкьо их сервис провайдеры типо хостеров и т д.
                                              — Утверждает что на запись попадают данные карт. Но не предоставил пруфов, что в видео действительно уходят данные карт не заблюренные.
                                                –6
                                                > Утверждает, что AppSee может слить эти данные — но в PP сервиса указано, что доступ к этим данным имет толкьо их сервис провайдеры типо хостеров и т д.

                                                Ну вот фитнес-трекер слил расположение военных баз например, хотя у него тоже была privacy policy и прочие имитирующие саморегулирование документы. Тут нужен государственный кулак, без него капиталистов в погоне за прибылью не угомонить.

                                                > сли вы почитаете ToS BK, то увидите что вы даете разрешение на доступ к этим данным.

                                                Это неправильно. Рекламировать приложение как способ удобного заказа бургеров, а по факту следить за пользователями. Почему они в рекламе это не пишут, а прячут в ToS?

                                                Вот представьте, вы будете покупать машину, а в автосалоне вам в договор припишут мелким шрифтом, что это не продажа машины, а сдача ее в аренду на месяц за полную стоимость. Или что предоплата в размере 30%, которую вы внесли, не входит в стоимость машины, а лишь оплачивает ее демонстрацию вам. Или вам предложат купить лекартсво, излечивающее болезнь, а в договоре мелким шрифтом напишут, что это просто витамины и что согласно научным исследованиям они действительно улучшают здоровье.

                                                Вы наверно скажете, что это нормально, что надо читать договор, но вот правоохранительные органы могут такое квалифицировать как мошенничество. Думаю, и с тайной слежкой должно быть то же самое. У нас ведь запрещен оборот устройств (а хотят добавить сюда и программы) для скрытой съемки, а с точки зрения пользователя, это и есть скрытая съемка экрана.

                                                Капиталисты сами себя не урегулируют — они напишут в ToS что вы обязаны продать им душу — потому нужен государственный кулак, который будет над ними висеть. Мы видим, к сожалению, что другие варианты не работают.
                                                  0
                                                  Абстрагируясь от сути топика.
                                                  Если уходить в правовое поле — есть нормативные акты, регулирующие правила написания контрактов и соглашений. При их нарушении крупную интернациональную корпорацию заставят принять противоестественную позу и выплатить ВЕСЬМА ощутимый штраф.
                                                  Или Вы думаете что у компании уровня бургеркники юристы уровня «папа протащил на юрфак»?
                                                0
                                                Добро пожаловать в Интернет, тут могут и в морду дать куки стырить.
                                                +29
                                                Если тут тоже схавают без фактчека — будет смешно.

                                                И судя по рейтингу статьи вполне себе схавали. Ну раз в статье джейсоны, и скрины админских тулзов — значит серьезное расследование, зачем разбираться. Очень обидно за хабр.
                                                  +15
                                                  Обидно ещё и за аудиторию: у большинства нет сомнений, что корпорации их обворовывают, прослушивают, бигдатят и зомбируют. А хрен с ним, что в ЕС, РФ и США действует тонна законов, регулирующих и ограничивающих сбор данных, а большие корпорации – первая цель для всех проверяющих органов. Хрен с ним, что AppSee зарегистрирована как компания и имеет кучу партнёров уровня Samsung и eBay. Хрен с ним, что приложение прошло AppStore Review и у него есть разработчик с именами и фамилиями. Не, это всё не берётся в расчёт. Раз я могу быстро забацать в xCode приложение и отправлять себе на домашний сервер свои же данные, то совершенно очевидно, что крупные корпорации делают так же и не имеют никаких последствий от многочисленных комиссий и комитетов, которые с этого живут.

                                                  Увы, критическое мышление и проверка источников – это потенциальные возможности, а не имманентные человеку данности. Желтизна такая желтизна.
                                                    +12
                                                    А компания Burger King как рекламирует свое приложение? Как приложение для желающих бесплатно поработать тестером и разрешить запись их экрана или как приложение для заказа бургеров? По моему, это разные вещи.

                                                    Это и есть обман. Есть мошенники, которые продают пенсионерам за огромные деньги витамины под видом лекарств для их болезни, а есть компании, которые обещают одно, а тайком делают другое.

                                                    Мне, наоборот, непонятна логика тех, кто это защищает. Вам нравится, что компании следят за вами и ущемляют ваши права — это, конечно, ваше дело, но почему от этого должны страдать другие?

                                                    > Хрен с ним, что приложение прошло AppStore Review и у него есть разработчик с именами и фамилиями.

                                                    И? это говорит лишь о том, что AppStore Review не очень беспокоит приватность пользователей, если ее нарушение прописано где-то в глубине ToS.
                                                      +7
                                                      Господа… надеюсь тут все разработчики и мы все прекрасно понимаем, что нельзя отловить все баги на этапе тестирования. Конечные пользователи не умеют писать багрепорты (единицы на самом деле). Они будут в комментах паниковать и орать.
                                                      Что в таком случае вы предлагаете делать?
                                                        +12
                                                        Все критические баги найти более чем реально, либо вы не тестированием, а неизвестно чем занимаетесь. Обычно, баги, которые не удалось отловить на этапе тестирования, повторить тяжело в принципе, даже имея видео. AppSee больше нацелено на замену рядовых тестировщиков.

                                                        Они будут в комментах паниковать и орать.
                                                        Что в таком случае вы предлагаете делать?
                                                        Как разработчик вы должны знать, что в комментах всегда кто-то будет орать и паниковать.
                                                          0
                                                          Не представляю, как видео с экрана может помочь выловить баги. Это должны быть баги размером с паровоз. Копить логи на дивайсе, а при крэше приложения сливать их на сервер — решение гораздо более полезное во всех отношениях. Можно даже не сразу сливать, а только по команде с сервера.
                                                            +5
                                                            Я лично видео + логи сопоставляю. Пару раз помогло отловить серьёзные баги, которые на этапе внутреннего тестирования не заметили. И это не вина тестировщиков. Баги были нереально редки и встречались только на определённом железе еще. Бывает всякое.

                                                            БГ нужно было оповестить о том, что есть запись видео и её можно отключить в настройках.
                                                              +4
                                                              Вы явно не разрабаотывали мобильного приложения с большим количеством юзер-путей. С логами всегда одна и та же проблема — либо они избыточно подробные, и их невозможно адекватно анализировать, либо слишком скупы. Да и на этапе разработки не всегда очевидно какие данные в логах понадобятся для дальнейшего анализа. А вот записанный сценарий использования — отличное подспорье для воспроизведения бага.
                                                                0
                                                                Как вариант — запись видео по запросу пользователя. Увидел какую-то проблему (не crash — он должен ловиться dump'ами) — залез в менюшку — отослать bug report, по запросу начинается запись экрана и в конце отправляется разработчику.
                                                                  0
                                                                  Когда баг произошел видео записывать уже поздновато. Запись видео частенько помогает отловить странные и трудновоспроизводимые баги.
                                                              +2
                                                              При запуске приложения показать попап и попросить разрешение на видеозапись экрана для улучшения приложения. Предложить варианты выбора «да» и «нет».

                                                              Будет 100% этичное решение, и в тестировании будут участвовать только те, кто хочет.
                                                              –3
                                                              Как приложение для желающих бесплатно поработать тестером и разрешить запись их экрана или как приложение для заказа бургеров?

                                                              А ещё у пользователей есть глаза, которыми можно увидеть разрешение на это в пользовательском соглашении. Если кто-то ленив и не хочет читать — это исключительно его проблемы, у нас взрослый мир, а не ясли, где всё надо разъяснять. Не удивлюсь, что при первом запуске был крыжик «разрешить отправлять информацию для улучшения приложения», который никто не снимал.
                                                                0
                                                                Не было никакого «крыжика».
                                                                  +7
                                                                  А вы, когда в ресторан приходите или в гостиницу заселяетесь, читаете все юридические документы? Не боитесь, что там будет «оформляя заказ, Клиент дает неотзываемое согласие на вступление и ежемесячную оплату взносов Клуба Успешных Людей. В случае нежелания вступать в Клуб, Клиент обязан покинуть заведение до оформления заказа»?

                                                                  А когда врач вам выписывает лекарство, вы читаете все документы? Не боитесь, что вам выпишут витамин C по завышенной цене и постелят соломку в пользовательском соглашении?

                                                                  Ну и машину вы конечно пойдете покупать только в компании юриста, да?

                                                                  Вы предлагаете идиотизм — обязать всех читать длинные юридические документы (а они будут длинными, я вам гарантирую) и разрешить обманывать не читающих их людей. А надо, чтобы никого нельзя было обманывать.
                                                                    +1
                                                                    Вы же предлагаете тоталитаризм, где за вас всё будет делать умный большой начальник в погонах. Ну или охлократию, где масса граждан с образованием ниже среднего и обратно пропорциональными по громкости воплям будет всюду носиться, выпиливая всех неугодных, независимо от их полезности.
                                                                    Не беспокойтесь, совсем бреда в капиталистических договорах не напишут, иначе найдётся какой-нибудь совсем обиженный капиталистический пользователь, который засудит эту большую компанию на большую сумму денег, и бред из договора придётся удалять. Ну и кроме того, эти большие компании и так перманентно страдают от капиталистических государств, которые всё норовят найти у них какие-нибудь огрехи, и также стрясти с них денег побольше.
                                                                      –1
                                                                      Я предлагаю адекватное госрегулирование, которое работает и проверено временем. К чему приводит отсутствие регулирования, мы уже увидели — бесконтрольные сбор и накопление перс. данных, утечки, скандалы.

                                                                      Это же не моя вина, что компании не могут без закона сами выработать адекватные правила обращения с перс. данными и правила раскрытия информации.

                                                                      > Не беспокойтесь, совсем бреда в капиталистических договорах не напишут, иначе найдётся какой-нибудь совсем обиженный капиталистический пользователь, который засудит эту большую компанию на большую сумму денег

                                                                      А почему? Потому что приняты специальные законы на эти случаи. Вы удивитесь, сколько различных законов напринимали, например, в позиционируемой как «самая свободная» стране США.

                                                                      Ну так давайте сделаем то же самое и для любителей прятать разрешение на слежку в ToS. Чтобы попытка обхитрить пользователя программы расценивалась судом так же, как попытка обмануть пациента или покупателя автомобиля всякими скрытыми комиссиями.
                                                                        0
                                                                        Я предлагаю адекватное госрегулирование, которое работает и проверено временем.

                                                                        Где предлагаете? Какое такое регулирование проверено временем? Мы много чего видели на своём веку, и много чего ещё увидим. Но адекватного госрегулирования ещё не видели.

                                                                        Это же не моя вина, что компании не могут без закона сами выработать адекватные правила обращения с перс. данными и правила раскрытия информации.

                                                                        Я наблюдаю обратное — большинство компаний заботятся о персональных данных намного больше государств, и они первыми же эту заботу и начали выказывать и активно продвигать.

                                                                        А почему? Потому что приняты специальные законы на эти случаи. Вы удивитесь, сколько различных законов напринимали, например, в позиционируемой как «самая свободная» стране США.

                                                                        Вот где-где, а в США законы не принимаются с бухты-барахты по хотению левой пятки возопившего пикабушера. Там для этого нужны твёрдые основания и безапелляционно выигранное дело в суде, чтобы прецендент был.

                                                                        Ну так давайте сделаем то же самое и для любителей прятать разрешение на слежку в ToS. Чтобы попытка обхитрить пользователя программы расценивалась судом так же, как попытка обмануть пациента или покупателя автомобиля всякими скрытыми комиссиями.

                                                                        А вот это уже давно зарегулировано российским законом. Если считаете, что ToS той или иной компании нарушают ваши права, что за вами организуют слежку против вашей воли, что публичная оферта не соответствует действиям — суд вам в помощь, вот только сопли на Хабре разливать не стоит.

                                                                        И кстати, вы не думали о том, что ваши деяния могут также быть рассмотрены законом как преступление? Ну например, можно задействовать ст. 152 Гражданского кодекса, для начала.
                                                                          +1
                                                                          Я предлагаю адекватное госрегулирование, которое работает и проверено временем. К чему приводит отсутствие регулирования, мы уже увидели — бесконтрольные сбор и накопление перс. данных, утечки, скандалы.

                                                                          И ещё раз по этому пункту. В Конституции сказано, что «1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.» И это применимо ко всем сторонам, к государству — в том числе. И вот когда оно начинает что-то там регулировать в Интернете, от которого, по-хорошему, должно быть отделено также, как и от церкви, то нормальным людям становится дурно. Молчу уже о всяких новеньких законах, которые прямо противоречат и букве, и духу данного пункта.
                                                                            +1
                                                                            Конституция дает только общее описание государственного устройства, а конкретизируется оно законами. Ну например, конституция не указывает, каким образом должно быть получено «согласие» на распространение данных — а капиталисты естественно заинтересованы в том, чтобы прописать это согласие в глубине пользовательского соглашения на 10000 слов.

                                                                            Потому закон, который запретит такие трюки, несомненно, будет полезен.

                                                                            Разумеется, хороший закон написать трудно, так же, как и написать хороший код. Для этого должно совпасть много факторов — и адекватное правительство, прислушивающееся к мнению граждан, и общественное обсуждение, и грамотные эксперты, и СМИ, освещающие дискуссии и выявляющие попытки пролоббировать выгодные для компаний пункты.

                                                                            Нынешнее правительство, которое не выбрано на конкурентных выборах, конечно, адекватным я не считаю. Но это не отменяет того факта, что кроме закона ваши персональные данные никто не защищтит. Вы можете хоть обвешаться адблоками и блокировщиками, но это не помешает сотовому оператору, интернет-магазину, банку раздавать ваши данные направо и налево.

                                                                            Ну серьезно, расскажите, как в отсутствие закона вы запретите сотовому оператору продавать данные о ваших звонках и вашем местоположении? А банку — о ваших финансах и тратах.
                                                                      +1
                                                                      Вы читаете все пользовательские соглашения? Сколько у вас примером уходит времени на установку, ну не знаю, Вайбера?
                                                                    +11
                                                                    Как раз-таки аудитория может смотреть шире на ситуацию, по крайней не так однозначно как Вы в Вашем сообщении, в котором мир представлен через призму розовых очков. Аудитория, например, может помнить про:

                                                                    у большинства нет сомнений, что корпорации их обворовывают, прослушивают, бигдатят и зомбируют.


                                                                    — то, что именно на этом строит свою бизнес-модель, например, Facebook и Google — одни из крупнейших компаний в мире; здесь на Хабре неоднократно постились статьи и комментарии с конкретными примерами, как то или иное приложение шпионит за пользователем — последний раз вчера в статье про колонку Яндекс.Станция;

                                                                    А хрен с ним, что в ЕС, РФ и США действует тонна законов, регулирующих и ограничивающих сбор данных, а большие корпорации – первая цель для всех проверяющих органов.


                                                                    — историю с Cambridge Analytica. Нахождение её штаб-квартиры в Великобритании, а Facebook — в США, как-то не помогло.

                                                                    что AppSee зарегистрирована как компания и имеет кучу партнёров уровня Samsung и eBay.


                                                                    — что наличие партнеров в определенный момент времени мало о чем говорит; стоит компании/лицу «замарать» свое имя, как партнеры сразу же разрывают любые деловые связи; наглядно в историях со спортсменами — не успело прозвучать обвинение в допинге/избиении жены/краже кроссовок из магазина, как на следующий же день от рекламодателей (партнеров) и след простыл;

                                                                    что приложение прошло AppStore Review


                                                                    — его же прошли и откровенно стремные приложения, например для джейлбрейка, замаксированное, если я правильно помню, под фонарик; если говорить про Android (под который также есть приложение «Бургер Кинг»), то с периодичностью раз в месяц публикуются статьи с оценкой количества откровенно вредоносных приложений — счет идет на тысячи.

                                                                    Так что не стоит обижаться на аудиторию Хабра — скепсис должен быть понятен.
                                                                    Причем вредоносное использование ранее собранных данных может произойти и без злого умысла, а просто по недосмотру или разгильдяйству — забыл админ сменить настройки по умолчанию, и вот твои данные уже в сети. Причем админ может быть ответственным за инфраструктуру военной базы — и всё равно он может забыть сменить стандартный пароль на рутере и обновить прошивку последнего.
                                                                      0
                                                                      Дорогой мой человек, это не розовые очки, а сущая реальность – большинство крупных компаний и даже государств (отдельные не в счёт) понятия не имеет, что им делать с таким объёмом данных о клиентах. После случая, когда в США спокойно въехали откровенные террористы просто потому, что данные на них были у одного ведомства, а границу проверяет другое, после ситуаций, когда в ЕС и США можно годами жить, платить всюду картой, брать в аренду машины и пользоваться мобильниками при полном отсутствии легальной визы, после того, как DHL Россия не может ничего поменять в заказе на моё имя, посланным из Чехии в Италию и посылает «звонить туда», после того, как Делимобиль постоянно звонит мне и предлагает новые тарифы, хотя сам же отказал в регистрации и запросил у меня бумажную справку из ГАИ о действительности прав (номера по базе и фотки им мало), после того, Apple Россия не может отменить ошибочный сертификат из США, после того, как я столкнулся с адовой бюрократией и семью начальниками, которые должны согласовать любой чих в больших компаниях, после всего этого я сильно сомневаюсь в том, что они умеют нормально обрабатывать бигдату. Какие-то отдельные запросы делают, но до нормального построения профиля клиента по косвенным данным ещё очень и очень далеко. Просто ещё руководство не понимает, что это такое.

                                                                      А по Вашему списку моих тезисов – я согласен с Вами, каждый этап можно объяснить и найти многочисленные примеры косяков. Но эти примеры рано или поздно становятся известными и ломают какой-то один уровень. Чтобы у такой большой корпорации месяцами работала явно противоправная схема, которую кто-то приказал разработать и внедрить, чтобы им повезло на всех этапах проверок, чтобы ни один начальничек не побоялся бы стать крайним, чтобы сознательно идти на столь опасную игру в правом поле последних законов, посвящать десятки человек в схему (а они вовсе не ЦРУ) – это больше похоже на конспирологию и сильное преувеличение разумности больших компаний.

                                                                      А так-то – да, идиотов всюду хватает и пароли стандартные оставляют, и пропуска не проверяют, и социальную инженерию никто не отменял. Но я бы не паниковал раньше срока.
                                                                        0
                                                                        последних законов

                                                                        Вот кстати последним европейским законам почти никто не соответствует. И ничего.
                                                                          0
                                                                          Пакету Яровой тоже пока никто не соответствует. Дело времени.
                                                                      0
                                                                      А хрен с ним, что в ЕС, РФ и США действует тонна законов, регулирующих и ограничивающих сбор данных, а большие корпорации – первая цель для всех проверяющих органов. Хрен с ним, что AppSee зарегистрирована как компания и имеет кучу партнёров уровня Samsung и eBay.
                                                                      И вот к чему приводят тонна законов и именитые бренды habr.com/post/416885
                                                                      +3

                                                                      А почему бы тебе не написать опровержение? Не будет обидно за хабр тогда. Хабр это мы и есть.

                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                        +2
                                                                        Если Вы человек в теме, и у Вас есть сейчас возможность повторить описанное в статье. То не могли бы Вы пожалуйста и файл с обработкой нажатий на экран проанализировать. А именно, в момент ввода кредитки пишутся ли события нажатия на клавиши клавиатуры?
                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                            +1
                                                                            fennikami вот это стоит в пост добавить, а то пока пустовато.
                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                                –2
                                                                                Никто их в заблуждение не ввел.
                                                                                Еще раз: телеметрия с записью экрана при вводе данных карты — не круто.
                                                                                Вечером залью видео которое внезапно опровергает что у БК данные карты замазаны.
                                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                                    –1
                                                                                    Ну и метод ты нашел чтобы себя распиарить.
                                                                                      0
                                                                                      Пруфы обязательно надо прикладывать к таким обвинениям сразу.
                                                                                        0
                                                                                        Вечером можешь уже не заливать.
                                                                                        +1
                                                                                        Где видео?
                                                                                          +1
                                                                                          а вечер уже наступил?
                                                                                        +2
                                                                                        Уже добавил.
                                                                                          +1
                                                                                          Добавь следующее сообщение от 3amynoK
                                                                                            0
                                                                                            Почему-то я не вижу видео, только скриншот видеоплеера. Я что-то неправильно делаю? Можете дать ссылку на видео?
                                                                                                +1
                                                                                                На видео виден номер телефона, который является ПД. По номеру телефона можно, купив данные у дата-брокеров, например найти человека в других базах: базах покупок, базах пользователей скидок, базах бравших кредиты итд.

                                                                                                Причем, что интересно, они требуют номер телефона для использования приложения, даже если ты хочешь просто посмотреть каталог товаров, и например придти и заказать их лично. Вот так отношение к людям.
                                                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                                  +8
                                                                                  Да, видео было бы интересно глянуть, но что-то автор не спешит его выкладывать.

                                                                                  прикосновения пишет параллельно


                                                                                  Скажу честно, я в этом — ни уха ни рыла, но строчка UploadTouchEvents = True выглядит подозрительно.
                                                                                    +4
                                                                                    Пишет много чего www.appsee.com/features
                                                                                    Но все вполне официально и по GDPR)
                                                                                      –29
                                                                                      Что же вы этот GDPR суете везде?
                                                                                      GDPR — глупый закон, который сам по себе ну никак не помогает в privacy regain, и это не показатель.
                                                                                        –3
                                                                                        Правда что ли? А гиганты типа Google — дураки. Это они сами себе напредумывали в своей «гейроппе»
                                                                                          –2
                                                                                          Непонятно за что заминусили, ведь GDPR действительно ужасен. Он только увеличит стоимость разработки, издержки IT компаний, но никак не поможет с защитой приватности данных. Просто это всё будет делаться неформально самыми наглыми компаниями, а добропорядочные будут проигрывать конкуренцию. К appsee претензий не имею, но защищать GDPR… Серьезно?!
                                                                                          +2
                                                                                          получается так что именно appsee пишет видео, а не бургер кинг.
                                                                                          То есть аналитику ведет это приложение, а бургер выступает лишь как распространитель.
                                                                                          В любом случае писать данные карты да и вообще любые данные — на видео это жесть.
                                                                                          Это реально нарушение моей приватности. Это уже за гранью аналитики
                                                                                            +1
                                                                                            Нет. AppSee не сам пришел к вам на телефон, его установили разработчики Burger King. Это они следят за вами, а AppSee лишь производит инструмент для этого.
                                                                                              +1
                                                                                              appsee же платформа, и на её сервера идут все данные. Разве нет?
                                                                                              Я конечно не пользовался, не знаю. Но в моем представлении это именно так и работает, исходя из опыта других продуктов. Того же вебвизора как выше упомянули
                                                                                                0
                                                                                                Модуль appsee пишет видео и отправляет на свой сервер откуда аналитики или разработчики бургер кинга забирают информацию, в том числе и записанное видео. Сами appsee вряд ли вообще просматривают их, там же миллионы видео файлов записываются, а им оно вообще не нужно.
                                                                                            0
                                                                                            некоторые еще харю пытаются писать без разрешения. Как то фонарики всякие, банковские приложения
                                                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                                                              0
                                                                                              Не спешу выкладывать потому что я, внезапно, человек и мне надо спать после бессонной ночи.
                                                                                              +1
                                                                                              Привет, сейчас занят очень, но вечером залью из дампа как раз.
                                                                                              –3

                                                                                              Опять? Привыкните уже — приложения и сайты имеют аналитику, вебвизор и иные средства анализа взаимодействия пользователя с продуктом.

                                                                                                +10
                                                                                                Пусть и разработчики тогда привыкают, что пользователи всеми силами блочат эти «интересные» функции. Пост автора побудил меня наконец разобраться в вопросе и поставить на свой телефон блокировщик трафика и прочих следилок (я раньше неверно думал, что для этого требуется рут, оказалось не так), даже приобрёл это приложение, что делаю в исключительных случаях.
                                                                                                  0
                                                                                                  Что за приложение? Поставили первое попавшееся или провели какое исследование?
                                                                                                    +1
                                                                                                    Adguard возможно.
                                                                                                    Только я не уверен, что он подобное блокирует.
                                                                                                    +32
                                                                                                    и теперь за вами следит блокировщик трафика :-)
                                                                                                      0

                                                                                                      Лёгкая паранойя, вполне нормальное явление. Количество пользователей, которые блокируют аналитику обычно не превышает 30%. Так что и у разработчиков есть достаточно данных для анализа и пользователи довольны.

                                                                                                        +1
                                                                                                        Если лень ковырятся глубоко — можно блокирующие днсы юзать.
                                                                                                        +3
                                                                                                        Есть этичные свободные приложения с того же F-Droid, которые просто делают свою работу, не запрашивают излишних разрешений, и даже работают оффлайн, там где это возможно, а не требуют доступ в сеть.
                                                                                                          +2
                                                                                                          Если вебвизор будет стоять на странице оплаты, где вводятся данные карты, то это большая проблема.
                                                                                                            0
                                                                                                            Стоял. И записывал. Действительно, можно было через вебвизор видеть, какие логин/пароль вводит пользователь. Но какое-то время назад Яндекс это пофиксил.
                                                                                                              –1
                                                                                                              Логин\пароль не так страшно, т.к. владелец имеет доступ к этим данным все равно. А вот данные карты — страшно, т.к. может быть сайт с каким-нибудь нормальным биллингом, который при этом будет собирать данные карт.
                                                                                                                0

                                                                                                                Шта? Нормальные девелоперы давно хешируют и солят пароли, так что даже они не знают их :/

                                                                                                            +5
                                                                                                            Лет 100 назад так же говорили про права рабочих и работодателей, и с тех времен произошли изменения: введены минимальная заработная плата, приняты дополнительные законы об охране труда.

                                                                                                            Думаю, что и в случае с приватностью, надо не привыкать, а изменять систему.

                                                                                                            Если компании нужно тестировать свое приложение на пользователях, пусть нанимают тестеров за бесплатные бургеры, а не используют людей в качестве подопытных свинок.
                                                                                                              +1
                                                                                                              Тут кто одеяло перетянет: если бы не потребность в узкоспециализированном высококвалифицированном труде, который позволил уже рабочим диктовать условия, то сейчас бы мы так и жили большинством в рабстве. Иногда возникает чувство, что благодаря информационным технологиям и глобализации ценность человеческой жизни снова падет…
                                                                                                              0

                                                                                                              Сами привыкайте, а мы будем резать.

                                                                                                              +15
                                                                                                              Вам уже на пикабу нормально ответили — что это вполне нормальное явление, которое не передает данные полей ввода, контролирует, чтобы отчеты шли через wifi и много другое, а так же соответсвует даже европейскому GDPR. Может все таки стоит больше изучать техническую часть, а делать желтые заголовки и громкие заявления.
                                                                                                              Кстати их прилождение одно из лучших в категории «Еда» — я их за последнее время десятки изучил.
                                                                                                              appsee — нужен для улучшения приложения, неужели Вы этого не понимаете?
                                                                                                                +3
                                                                                                                Не знаю, чем оно лучшее, оно глючное. Грузится долго, часть товаров вообще не даёт добавить в корзину (кнопка обавления неактивна).
                                                                                                                  –2
                                                                                                                  с точки зрения функциональности и подхода формирования заказа. Про стабильность ничего не могу сказать…
                                                                                                                    0
                                                                                                                    Так глючит-то его как раз из-за апси. Представляете, как он нагружает смартфон? Плюс ещё и трафик дико жрет. На своем приложении использовали по мере необходимости. Но отвал пользователей был адовый. Сейчас ребята российские похожий сервис двигают. Обещают, что влияние на работу смартфона минимальное. Будем тестить.
                                                                                                                    0
                                                                                                                    Только та же телеметрия в вебе приводит к массовой переделке сайтов в вид с 3 огромными словами и одной картинкой на весь многодюймовый монитор и необходимостью постоянно скролить. Не видно то есть никакого улучшения, видно какой-то ужасный идиотизм.
                                                                                                                      +5
                                                                                                                      я думаю это не с телеметрией связано, это скорее к трендам дизайна вопрос.
                                                                                                                        +3
                                                                                                                        Три огромные слова и картинка появились не из-за телеметрии, а из-за роста мобильного трафика, где это действительно выглядит в тему. И когда это лендинг, на котором минимум информации, то все хорошо и красиво. Проблемой это становится тогда, когда сайт где много контента делают в таком виде. Но увы, на мобильных иначе читать сложно.
                                                                                                                          0
                                                                                                                          Так делают же отдельные версии сайтов под мобильные браузеры. Зачем заставлять людей на десктопах видеть 3 слова и картинку на мониторе 27 дюймов фулл-хд?
                                                                                                                          Тот же вопрос банкам с таким же дизайном. Банки часто предлагают под смартфоны свои приложения и скорее всего мало кто будет уродоваться на смартфоне через браузер.
                                                                                                                            0

                                                                                                                            Банки приложения, конечно, предлагают. Но к остальным сайтам это имеет мало отношения. Глупо писать приложение, если не осилил мобильную версию — люди не будут ставить тысячу приложений, а значит небольшой сайт просто потеряет аудиторию. Разумнее уж мобильную версию допилить.

                                                                                                                              0
                                                                                                                              Потому что доля мобильного трафика больше половины, а разработка и поддержка двух версий стоит денег.
                                                                                                                          –18
                                                                                                                          Вам уже на пикабу нормально ответили — что это вполне нормальное явление, которое не передает данные полей ввода, контролирует, чтобы отчеты шли через wifi и много другое

                                                                                                                          Давайте по пунктам:
                                                                                                                          1. Данные полей не передаются только если отдельно указать что вот мол этот и этот TextField — Sensitive View. Там нет магии которая чудным образом узнает где же тут приватные поля и цензурит их.
                                                                                                                          2. Приложение BK не отдает информацию о подключении к WiFi / Cellular, а значит — не может контролировать это.
                                                                                                                          3. Про GDPR отвечу свои комментом выше:
                                                                                                                          Что же вы этот GDPR суете везде?
                                                                                                                          GDPR — глупый закон, который сам по себе ну никак не помогает в privacy regain, и это не показатель.

                                                                                                                          И напоследок:
                                                                                                                          Кстати их прилождение одно из лучших в категории «Еда»

                                                                                                                          Кстати, этот коммент совсем не рекламный!
                                                                                                                            +15
                                                                                                                            давайте по пунктам:
                                                                                                                            1. можно увидеть видео с пруфом что парметр не стоит?
                                                                                                                            2. не берусь судить, надеюсь тут найдутся люди, кто сможет подтвердить или опровергнуть.
                                                                                                                            3. GDPR — это ппц какое количество правил и указаний по защите персональных данных пользоавтеля — так что это показатель.
                                                                                                                            4. про оценку приложения — это мое личное мнение, как человека, который много исследует приложения в категории «Еда» на предмет фишечек и функционала. К бургер кингу я не имею ни какого отношения( я fullstack разработчик в «Европлан»- это лизинг)
                                                                                                                            Пока ваша статья выглядит — как победа параноика над здравым смыслом и желание пиара.
                                                                                                                              +4
                                                                                                                              GDPR — это ппц какое количество правил и указаний по защите персональных данных пользоавтеля — так что это показатель.


                                                                                                                              Ну и что толку, если соответствующее GDPR приложение пишет видео с экрана и отсылает левым людям?
                                                                                                                                +2
                                                                                                                                GDPR — это ппц какое количество правил и указаний по защите персональных данных пользоавтеля — так что это показатель.

                                                                                                                                Я никогда не изучал этот момент, но подозреваю, что в России всегда были достаточно хорошие законы, защищающие окологосударственные БД. Как там сейчас, уже нельзя достать БД с паспортными данными граждан РФ?


                                                                                                                                Так и GDPR. Он говорит как надо защищать и как будут наказывать, если этого не делать. Но все всегда вольны не делать и, возможно, огрести по всей строгости закона.

                                                                                                                                  0
                                                                                                                                  1. можно увидеть видео с пруфом что парметр не стоит?

                                                                                                                                  Таки логично запрашивать, наоборот, видео с пруфом, что он стоит.
                                                                                                                                  И не только видео.
                                                                                                                                    +1
                                                                                                                                    Так может стоило им написать и дождаться ответа, а не поднимать шум с желтыми заголовками?
                                                                                                                                  +3
                                                                                                                                  GDPR не глупый. Законодатель увидел, что компании не заинтересованы в охране персональных данных, что там начался дикий капитализм и пришел к выводу, что нужны юридические ограничения. С капиталистами по-другому никак.
                                                                                                                                    –1
                                                                                                                                    GDPR не глупый

                                                                                                                                    Ага не глупый. Он создаёт огромные затраты индустрии на соответствие закону, который всё-равно не будет работать. Думаете компании действительно будут удалять информацию пользователей по запросу? Это просто очередной налог и рост бюрократии, который оплатит в итоге потребитель.

                                                                                                                                    С капиталистами по-другому никак.

                                                                                                                                    Ну вот такими статьями как эта можно воздействовать, создавать институт репутации. Зачем распильные законы плодить?
                                                                                                                                      +2
                                                                                                                                      Вы плохо понимаете закон. Суть закона очень проста: персональные данные принадлежат не тому, кто их собрал, а пользователю. И охраняются законом. Вот и все.

                                                                                                                                      Если вы честный и порядочный бизнес, который уважает своего пользователя, то для вас с приходом закона скорее всего ничего не изменилось.

                                                                                                                                      > Думаете компании действительно будут удалять информацию

                                                                                                                                      думаю, крупные западные компании будут, так как Европа это не кучка аборигенов (или россиян), чье мнение можно проигнорировать.

                                                                                                                                      > Он создаёт огромные затраты индустрии на соответствие закону

                                                                                                                                      В чем затраты? Дописать код для замены по запросу в базе данных «Иванов Иван» на «Удален Удален»? Я уверен, что блестящие разработчики в IT-компаниях такую задачу за день максимум решат.

                                                                                                                                      Расскажите мне про затраты.

                                                                                                                                      Да, для кого-то, кто привык зарабатывать продажей персональных данных дата-брокерам, теперь стало труднее это делать. Пусть займутся чем-нибудь другим.

                                                                                                                                      >, создавать институт репутации

                                                                                                                                      Вот смотрите, у нас был период нерегулируемого оборота перс. данных, и к чему он привел? Только к утечкам, скандалам и злоупотреблениям. Где ваш институт репутации? Работает? Вы мне верующего напоминаете, а вместо слепой веры попробуйте посмотреть на нынешнюю ситуацию.

                                                                                                                                      Нет. Потому нужно отрегулировать эту сферу законодательно, так как другие механизмы не работают и мы скатываемся в дикий капитализм. Я хочу, чтобы можно было пользоваться любыми современными сервисами, но не жертвовать своей приватностью и не пополнять чьи-то базы данных. Кроме государства, это никто не обеспечит.
                                                                                                                                        0
                                                                                                                                        GDPR фактически делает использование блокчейна и прочие распределенных штук в коммерческих приложениях незаконными.
                                                                                                                                          +1
                                                                                                                                          Если вы не храните персональные данные в блокчейне (зачем??), то все законно.
                                                                                                                                          0
                                                                                                                                          Расскажите мне про затраты.

                                                                                                                                          Во всех крупных компаниях — создать и провести тренинги по GDPR, убедиться что сотрудники будут его соблюдать. Если проверок много — затраты на содержания армии бюрократов государством, затраты компаний на подготовку к этимпроверкам (в некоторых случаях коррупционые). Затраты на внутренние проверки, чтобы следовать закону — иначе платить штраф из-за Васи, который накосячил в функции удаления данных.
                                                                                                                                          Если проверок от государства почти нет — то закон ничего не меняет, для недобросовестных компаний, но осложняет жизнь добросовестным. Т.е. на конкурентном рынке хорошие компании будут проигрывать плохим.
                                                                                                                                          Сколько стоит отвлекать сотрудников от работы для информирования о GDPR, сколько стоит создание треннингов, сколько стоит для каждого онлайн сервиса создать соглашение о работе GDPR, сколько стоит готовиться к проверкам по закону, сколько стоит для каждого продукта компании отвлечь программистана дописать код для замены по запросу в базе данных «Иванов Иван» на «Удален Удален», сколько стоит постоянно проверять, что этот код работает правильно? Всё в сумме — большие деньги и много времени.

                                                                                                                                          Я хочу, чтобы можно было пользоваться любыми современными сервисами, но не жертвовать своей приватностью и не пополнять чьи-то базы данных. Кроме государства, это никто не обеспечит.

                                                                                                                                          Не нравится, что ваши данные используют — не пользуйтесь сервисом, у которого в соглашении написано, что он может их передавать третьим лицам. Государство может обеспечить лишь справедливый суд, то что не пополняются чьи-то базы не может обсепечить никакой закон. Всегда можно написать отдельный модуль, который шифрует данные и хранит на отдельном сервере, на случай проверки. Как тут поможет закон?
                                                                                                                                          Если заметили, что ваши данные утекают и это протеворечит соглашению — судитесь с компанией. Зачем GDPR?

                                                                                                                                          Вы плохо понимаете закон. Суть закона очень проста: персональные данные принадлежат не тому, кто их собрал, а пользователю.

                                                                                                                                          То что там так написано — не значит, что оно так будет работать. Кто-то будет шифроваться, кто-то даст взятку, кто-то просто забьёт на соблюдение закона. Соблюдать будут только те, кто и до этого не торговал данными, только теперь им придётся ещё больше ресурсов тратить на это.
                                                                                                                                          0
                                                                                                                                          Мы удаляем, все полностью, даже обезличенный user_id и со своих партнеров контент провайдеров требуем удалять
                                                                                                                                        0
                                                                                                                                        Данные полей не передаются только если отдельно указать что вот мол этот и этот TextField — Sensitive View.

                                                                                                                                        Доказательства, что в приложении БК поля ввода ПД — не установлены как Sensitive View?
                                                                                                                                        Приложение BK не отдает информацию о подключении к WiFi / Cellular, а значит — не может контролировать это.

                                                                                                                                        Опять же, доказательства? Да и проверить это можно по маршруту легко, диапозоны ip провайдеров мобильного интернета известны давно и находятся в свободном доступе.
                                                                                                                                        GDPR — глупый закон

                                                                                                                                        Это отменяет необходимость его соблюдения, и соответствие ему предмета обсуждения? Или вы у нас поклонник подхода «мне не нравится этот закон, я не буду его соблюдать»?
                                                                                                                                          +1
                                                                                                                                          А на каком основании он должен доказывать, а вы не должны? Вы(вернее автор заглавного коммента) утверждали, что что-то есть, а автор стать то, что этого нет. Как минимум доказывать должны оба, а по правилам должны доказывать вы.
                                                                                                                                          0
                                                                                                                                          2. чтобы контролировать подключение к WiFi / Cellular эту инфу как раз и не надо передавать. Приложение само (на стороне клиента) может узнать эту информацию от OS API и решить — передавать ли видос или нет. Так что тут все ровно
                                                                                                                                          +6

                                                                                                                                          Всё это не должно работать на странице ввода чувствительных данных и точка.


                                                                                                                                          Либо не записывать данные вообще, либо в какой-то момент заблюренные этим алгоритмом области могут научиться восстанавливать. А если это sdk не блюрит, а вырезает куски экрана с видео, то в какой-то момент может произойти ошибка и данные не будут вырезаны. Может даже ошибка не на стороне разработчиков sdk: телефонов на android куча, многие производители модифицируют ОС под себя и грабли могут оказаться там, где их не ожидали.

                                                                                                                                            +4
                                                                                                                                            Это должно работать на специально нанятых людях-тестерах. Если приложение рекламирует себя как приложение для заказа бургеров, то оно этим и должно заниматься, а не записывать тайком видео с экрана.

                                                                                                                                            Тестировать должны тестеры, а не случайные пользователи.

                                                                                                                                            Есть такое понятие, как «expectation of privacy». Мы ожидаем, что когда мы смотрим каталог бургеров, никто не заглядываем нам в телефон через плечо.
                                                                                                                                              0
                                                                                                                                              Почему же тайком? В Terms of Use, которые необходимо принять для регистрации, всё это написано, что пользователь даёт согласие на сбор всевозможной статистической и аналитической информации (не содержащей персональных данных) всеми доступными способами, которые не противоречат действующему законодательству.

                                                                                                                                              Я понимаю, что никто их не читает и все ставят галочку акцепта на автомате, но вот возмущаться потом из-за этого — как минимум странно.
                                                                                                                                                0
                                                                                                                                                Это же типичная капиталистическая уловка: следить за людьми нельзя, а давайте пропишем это где-нибудь в глубине ToS, который никто не читает, и будем следить.

                                                                                                                                                Нет, так не должно быть. Человек, пользуясь приложением, не ожидает, что кто-то будет стоять у него за плечом и смотреть в экран.

                                                                                                                                                Представьте, если все начнут пользоваться такими уловками. Вы приходите к врачу, он вам говорит: вот дорогое лекарство, которое поможет вам в лечении. А в договоре мелкими буквами написано: согласно научным исследованиям, витамин C повышает сопротивляемость организма и повышает шанс выздоровления, потому вы согласны считать его лекарством. Вы приходите в автосалон, а там в договоре написано: предоплата в размере 30% не входит в стоимость машины, а лишь является оплатой работы по демонстрации автомобиля. Вы приходите в ресторан, а там в конце меню написано: «сделав заказ в нашем ресторане, вы соглашаетесь на пожизненную ежемесячную оплату в размере XXX р». Вы устраиваетесь на работу, а в внутреннем распорядке компании (нет, не в трудовом договоре) написано: «если работник не успел сделать задачу за отведенное руководителем время, для компенсации причиненного убытка следующие 12 месяцев он обязан работать по 12 часов в сутки. Работодатель имеет право менять Внутренний Порядок без предварительного уведомления».
                                                                                                                                                  +3
                                                                                                                                                  Я всё равно не понимаю, в чём слежка-то заключается? Снимают не вас, снимают даже не экран устройства в целом, просто приложение записывает себя же, запись других приложений не ведётся.

                                                                                                                                                  Да и вообще, а если бы ваши действия в нём не записывались на видео а просто тщательно логировались в текстовом виде и отправлялись на сервер — вам было бы спокойнее?
                                                                                                                                                    +5
                                                                                                                                                    Этот товарищ политрук вообще не про слежку тут речи толкает. А про то, что капитализм это плохо. А есть там слежка или нет её — это неважно, главное, что есть повод залезть на броневичок.
                                                                                                                                            +17
                                                                                                                                            Самое ненормальное во всем этом явлении то, что многие люди уже считают это нормальным. Ну подумаешь в спальню залезли… но это же поможет производителю кроватей улучшить свой продукт! Попутно поделившись данными о твоей частной жизни с парой десятков «партнеров».
                                                                                                                                              +1
                                                                                                                                              Это Вы еще про Google не знаете.
                                                                                                                                                +3
                                                                                                                                                В какую спальню?? Максимум залезли в камеры в своем же магазине, когда вы там были, и посмотрели, что там люди делают.
                                                                                                                                                  0
                                                                                                                                                  Телефон принадлежит юзеру, а не им. Следовательно, территория юзерская.
                                                                                                                                                    –1

                                                                                                                                                    Приложение пренадлижит не юзеру, а бургер кингу. Территория их. Это как если бы магазин вел статистику, где трудней всего ходить и где больше всего спотыкается народ

                                                                                                                                                      +2
                                                                                                                                                      Совсем там все упоролись в вашем 21 веке с подменой понятий.
                                                                                                                                                      Но в нормальной системе логики главный на устройстве — компьютере, телефоне, автомобиле, холодильнике, чем угодно — его хозяин.
                                                                                                                                                  0
                                                                                                                                                  Только почему ваша спальня находится в здании бургер кинга, а люди из бургер кинга во время вашего отсутствия спокойно переделывают интерьер вашей спальни и вы совсем не против? :)
                                                                                                                                                  0
                                                                                                                                                  Чтобы улучшать приложение, необязательно использовать пользователей в качестве подопытных свинок. Можно нанять тестеров (например за бесплатный бургер) и тестировать на них.
                                                                                                                                                    +3
                                                                                                                                                    так получается что они собственно так и делают
                                                                                                                                                      0
                                                                                                                                                      А вы приложение поставили не ради промокодов?
                                                                                                                                                        0
                                                                                                                                                        Даже если ради промокодов — пусть честно скажут, что они собирают в обмен на промокоды. Честная сделка происходит тогда, когда оба участника знают ее полные условия. А когда один участник обещает «бесплатные промокоды», и скрывает, что он заберет взамен — они находятся в неравных условиях.
                                                                                                                                                          0
                                                                                                                                                          Чисто из любопытства, вы как себе это представляете?

                                                                                                                                                          Ну, например, ролик по телевизору
                                                                                                                                                          «Яндекс. Найдётся всё!
                                                                                                                                                          В обмен мы продаём вас рекламодателям, для чего собираем:
                                                                                                                                                          — ваши поисковые запросы
                                                                                                                                                          — видео с экрана
                                                                                                                                                          — …
                                                                                                                                                          — …
                                                                                                                                                          — …
                                                                                                                                                          — …
                                                                                                                                                          — …
                                                                                                                                                          [62 пункта вырезано]
                                                                                                                                                          — …
                                                                                                                                                          »
                                                                                                                                                            0
                                                                                                                                                            Найдётся всё — и вы найдёте, и вас найдут.
                                                                                                                                                      +5
                                                                                                                                                      А вот меня не устраивает сам факт записи действий.
                                                                                                                                                      И меня совершенно не должно волновать, что это «способ улучшить качество продукта», да е*** вы конём, вы с доходов улучшайте продукт.

                                                                                                                                                      Для меня это на уровне «мы улучшаем качество унитазов через видео записи из туалета, но не волнуйтесь, мы замажем ваш писюн». Вот по мне 1 в 1 ситуация.
                                                                                                                                                      0

                                                                                                                                                      Я могу написать приложение, которое будет снимать вас в туалете, при этом маскироваться под видеочат к примеру. Вы позволите себя снимать? Обещаю, оно будет лучшим в категории "извращения". А снимать оно будет естественно только для улучшения своей статистики) Поставите?)

                                                                                                                                                      +10
                                                                                                                                                      Вы открыли для себя сервис сбора статистики для мобильных приложений. Установлен флаг DetectCrashes (обычно видео используется для выяснения, что привело к падению приложения). Полистав сайт, можно увидеть, в каких приложениях еще используется этот сервис.

                                                                                                                                                      видео записывается даже тогда, когда вы указываете данные своей банковской карты
                                                                                                                                                      Это действительно так?
                                                                                                                                                        +10
                                                                                                                                                        Нет, конечно. Просто пользователи Пикабу открыли для себя дивный мир мобильной аналитики.
                                                                                                                                                          +3
                                                                                                                                                          Самое смешное, что это не заставит их перестать пользоваться мобильным приложением самого Пикабу, которое содержит:

                                                                                                                                                          — Google measurement
                                                                                                                                                          — Google Ads
                                                                                                                                                          — Appsflyer analytics/tracking
                                                                                                                                                          — Clevertap analytics/tracking
                                                                                                                                                          — io.branch.sdk metrics/analytics
                                                                                                                                                          — Yandex metrica/ads
                                                                                                                                                          — io.fabric.sdk metrics/analytics
                                                                                                                                                          — сервис аналитики самого Пикабу
                                                                                                                                                          — Google login (GooglePlus login)
                                                                                                                                                          — Twitter login
                                                                                                                                                          — Facebook login
                                                                                                                                                          — VK login
                                                                                                                                                          — Crashlytics

                                                                                                                                                          Последние пункты делают хоть что-то полезное, а остальное нужно лишь для анализа поведения пользователя и показа рекламы. Но поста про это на самом Пикабу никогда не будет, верно?
                                                                                                                                                            0
                                                                                                                                                            А если копнуть в настройки приватности гугла и вообще в его сервисы на Android, то придется переходить на кнопочные телефоны 2000х годов… У большей части юзеров пишется история передвижений, интересно, как они на это отреагируют?
                                                                                                                                                              0
                                                                                                                                                              История передвижений пишется даже на кнопочных телефонах, я вам это гарантирую.
                                                                                                                                                                0
                                                                                                                                                                Смотря каких.
                                                                                                                                                                  0
                                                                                                                                                                  На любых, в которых есть симка, поинтересуйтесь назначением файла usim/6f7e.
                                                                                                                                                                0
                                                                                                                                                                Я вам щас открою страаааашную тайну.
                                                                                                                                                                Есть Андройд смартфоны на чистом AOSP которые за тобой не следят.
                                                                                                                                                                  0
                                                                                                                                                                  Ничего подобного. Возьмите билд андроида, запустите на qemu каком-нибудь и посмотрите трафик.
                                                                                                                                                                    0
                                                                                                                                                                    В чистом андройде нет google api и он ничего не отправляет.
                                                                                                                                                                      0
                                                                                                                                                                      Учитывая то, кто у нас вендор Андроида, ваше утверждение выглядит крайне сомнительно.
                                                                                                                                                                        –1
                                                                                                                                                                        О, анаэробная форма жизни, давно не виделись!
                                                                                                                                                                        На вашей планете что, и Андроид другой?
                                                                                                                                                                        Если серьёзно, в чистом Андроиде нету 3 китов гугла: Market, Services и API, по сути без них Андроид с Гуглом не связан вообще никак.
                                                                                                                                                                        Ещё можете посмотреть на replicant.us
                                                                                                                                                            –8
                                                                                                                                                            обычно видео используется для выяснения, что привело к падению приложения

                                                                                                                                                            Видео прямым потоком лилось на сервак AppSee, только вот приложение у меня ни разу не падало.
                                                                                                                                                              +2
                                                                                                                                                              Хотелось поинтересоваться, как вы предскажете краш вашего приложения и за несколько секунд до этого начнете запись экрана? Скорее всего все происходит в онлайне по вполне конкретным причинам. Я за privacy и все такое, но тут обычный хайп, как было недавно с efail.
                                                                                                                                                                +3
                                                                                                                                                                Хотелось поинтересоваться, как вы предскажете краш вашего приложения и за несколько секунд до этого начнете запись экрана?
                                                                                                                                                                Писать видео всегда, но отправлять только небольшой кусок до момента краша при повторном запуске приложения.
                                                                                                                                                                  –1
                                                                                                                                                                  Насколько такой кусок должен быть небольшим и как вычислить его продолжительность? Ведь бывают совсем неочевидные баги. То, что вы сделали 1000 раз, может не завестись на 1001.
                                                                                                                                                                    0
                                                                                                                                                                    К тому же, тут уже ответили, что это так же может быть полезно для улучшения UI/UX.
                                                                                                                                                                      +1
                                                                                                                                                                      В том и дело, основная цель AppSee — это обратная связь для улучшения интерфейса. Именно поэтому, с точки зрения AppSe, видео резать нет смысла — для анализа нужны все действия пользователя, начиная от первого запуска приложения. Не понимаю, как получилось, что во многих комментариях в этой теме разговор перетек в отлавливание багов, т.к. это уже дополнительная фича, которая скорее случайно поддерживается просто потому что реализация основной цели сервиса AppSee уже предоставила весь функционал.
                                                                                                                                                                        0
                                                                                                                                                                        Я привел пример краша, потому что автор говорит о записываемом видео. На сайте appsee говорится, что видео используется для краш репортинга. Поправьте, пожалуйста, если я не прав.
                                                                                                                                                                          0
                                                                                                                                                                          Если посмотреть видео с главной страницы youtu.be/QY2yCRnWx-A, то я бы его больше проинтерпретировал так: «AppSee помогает вам отследить поведение пользователей, и найти слабые места в интерфейсе вашего приложения. В том числе вы можете отслеживать краши». Просто я не понимаю, как может взлететь сервис, который занимается крашами — потому что тут ничего инновационного нету, с багами все бороться давно умеют, а вот анализ интерфейса — это другое дело, такого мир мобильных приложений, по-моему, еще не видел. Я веду к тому, что основная цель AppSee все таки нахождение слабых мест в интерфейсе, а не помощь в дебаггинге.
                                                                                                                                                                  0

                                                                                                                                                                  Например, как это сделано в камерах видеонаблюдения. Существует буфер предзаписи, и если что-то случается, то видео пишется на диск. Так и тут модно что-то подобное реализовать и отсылать видео непосредственно с крашем приложения.


                                                                                                                                                                  А вообще, ИМХО, слать в прямом эфире видео и ни слова про это видео не говорить это не есть хорошо. Если надо постоянно следить за приложением, то как уже выше говорили, нанимайте тестеров и давайте им отдельное приложение, а не тратьте трафик пользователей, которые на это не соглашались.

                                                                                                                                                                    –4
                                                                                                                                                                    пользователей, которые на это не соглашались
                                                                                                                                                                    Ну вообще-то соглашались, подтверждая при регистрации прочтение и полное согласие с terms of use, где всё это упоминается.
                                                                                                                                                                      +16
                                                                                                                                                                      Да пошли вы нахрен со своими terms of use и privacy policy, это уже реально смешно, хватит защищать подобные вещи! Вы сами-то внимательно читаете все до одного terms of use приложений и сервисов, которые используете? А если в terms of use будет написано «Нажимая Продолжить вы соглашаетесь пожертвовать своё правое яичко обществу борьбы с социальным неравенством» — вы тоже будете радостно хавать это и говорить «Ну что же, это ведь для борьбы с социальным неравенством, да и в terms of use прописано!»?
                                                                                                                                                                      Любой подлости или злодеянию можно найти оправдание. Всякие там метрики и поиск багов меня как пользователя не интересуют, а вот слежение, даже оговоренное в terms of use, не очень. Цитата из «Незнайки на луне» хорошо подходит: «Какая мне разница, как меня обворуют, по закону или не по закону?»
                                                                                                                                                                        0
                                                                                                                                                                        Не забывайте также, что за вами следят:
                                                                                                                                                                        — десятки видеокамер стационарного видеонаблюдения
                                                                                                                                                                        — сотни видеорегистраторов
                                                                                                                                                                        — Крупные магазины (тем боле те, в которых используете дисконтную карту)
                                                                                                                                                                        — Браузеры/поисковые системы/провайдеры
                                                                                                                                                                        — мобильные операторы
                                                                                                                                                                        — утка (в случае, если у вас анатидаефобия)
                                                                                                                                                                        — госстуктуры (ГИБДД, таможя, налоговая, военкоматы)
                                                                                                                                                                          +4
                                                                                                                                                                          И что? Поймите одну вещь, даже если что-то происходит, происходит постоянно, происходит неизбежно и происходит по закону — это не говорит о том, что это норма. Избитый пример, но всё же упомяну — евреев в Третьем рейхе тоже по закону сжигали.
                                                                                                                                                                            0

                                                                                                                                                                            Избитый. Очень. Я понимаю, что любая дискуссия сводится в конце концов к Гитлеру, но все же не нужно приравнивать написанное выше к Холокосту. Различайте понятия слежки за поведением абстрактного пользователя и слежки за каждым конкретным человеком.
                                                                                                                                                                            И да, тогда уже и избитая мысль с моей стороны — если вам не нравится закон — это повод попробовать изменить закон. А не устраивать луддизм.

                                                                                                                                                                              +1

                                                                                                                                                                              Слежка за поведением абстрактного пользователя — это так же отвратительно. От того, что там прописано в законе, это не становится хорошим действием. В законах пока не пишут, что исполнять их нужно с энтузиазмом или что с законом нужно внутренне соглашаться. Почему лично вам слежка нравится и вы её защищаете, не ясно. Дело ваше, но другим она нравиться не обязана.

                                                                                                                                                                                0
                                                                                                                                                                                Не защищаю, а пытаюсь объяснить, зачем это делается и где это происходит. Судя по ажиотажу значительная часть присутствующих в треде имеют очень смутное представление об аналитике вообще и ее методах в частности.
                                                                                                                                                                                И позвольте мне самому решать, что мое дело, а что нет.
                                                                                                                                                                                  +1

                                                                                                                                                                                  Конечно позволяю. Так и написал, ваше отношение к слежке — дело ваше, вам решать. Люди, даже если и не очень технически подкованы, просто хотят, что бы за ними меньше следили. Хоть по закону, хоть без. Вполне понятное желание.

                                                                                                                                                                                    0
                                                                                                                                                                                    Хотят. И оставляют терабайты информации в соцсетях :)
                                                                                                                                                                                    Люди — странные животные
                                                                                                                                                                                      +3

                                                                                                                                                                                      Ничего странного. Оставляют по собственному желанию. А скрытый сбор — он скрытый. Вполне логично и естественно иметь возможность рассказать о себе то, что хочешь (в т.ч. и в соцсетях), но при этом что бы скрыто ничего не собиралось.

                                                                                                                                                                          –4
                                                                                                                                                                          Вы сами-то внимательно читаете все до одного terms of use приложений и сервисов, которые используете?
                                                                                                                                                                          Честно говоря, нет. Но и возмущаться не буду, если вдруг окажется, что из-за своей же лени я упустил что-то важное в этих самых terms of use.
                                                                                                                                                                          А если в terms of use будет написано «Нажимая Продолжить вы соглашаетесь пожертвовать своё правое яичко обществу борьбы с социальным неравенством»
                                                                                                                                                                          То этот пункт будет противоречить действующему законодательству и поэтому будет признан недействительным.
                                                                                                                                                                          а вот слежение, даже оговоренное в terms of use
                                                                                                                                                                          Тут в комментариях многие уже писали про нарушение приватности и слежку, но никто так и не смог ответить на простой вопрос: в чём заключается-то это самое нарушение приватности пользователя и слежка за ним в целом, ведь приложение снимает свой же собственный экран, записи других приложений не ведёт, равно как попыток записать пользователя через фронтальную камеру. Или для вас слежка — любая фиксация приложением действий пользователя в нём? В таком случае непонятно, почему же текстовое логирование каждого действия пользователя в приложении не вызывает подобного ажиотажа.