Burger King и тайная запись экрана вашего телефона

UPD2:
Сделал второй пост с доказательствами и опровержением заявлений Burger King. Читать здесь.

UPD:
fennikami
Я предоставил видео-доказательство того, что поля ввода данных (в том числе — банковских карт) не скрываются + видео отправляется каждый раз при запуске (в чем вы сами можете убедиться, отследив трафик приложения).
Таким образом я имею опровержение официального ответа Burger King о том, что «личная информация скрыта» и того, что якобы используется выборка на 10% пользователей.

Стоит отметить, что ни в одном из официальных видео Burger King (где они якобы демонстрируют скрытие личных данных) не показано меню привязки банковской карты.
В этом видео оно показано.

Также хочу отметить, что после публикации оргинального расследования — на мой блог начались хакерские атаки (брутфорс админки, поиск эксплоитов, попытка DDoS).

Я готовлю второй пост на эту тему.
Stay tuned, больше информации — в моем блоге.


Привет, Хабр! Мне 18 и я бородат в свободное время ковыряю разные приложения. Сегодня мои руки дошли до распиаренного и популярного приложения Burger King (того самого, где «бургер — бесплатно», «наедалово» и промокоды для друзей).

Запускаю их приложение, наблюдаю за трафиком. И тут обнаруживаю это:

image

Что это такое? Если нет идей, смотрите под катом.

UPD:
3amynoK
Я бы сказал они ходят по офигенно тонкому льду. Я вижу тачи — переходы между полями, но тапов по клавиатуре я не нашел в их данных. yadi.sk/d/tjxg2OJ83Z6YB8 Я снова зашел на форму, ввел в номере карты 123456… Что я вижу так это открытие формы карты «BurgerKing.PYCardInput»,«s»:132000 где s это время, потом смотрел все тачи TouchEvents с этого времени и отметил их на скрине. Actions значения смутили, там есть «h»:216 что есть высота клавиатуры и там какие то события с «i» подряд 1, 2, 4. Я думаю это выбор даты срока карты при выборе в барабане.
UPD модератора Хабра:
Мы связались с участниками истории и получили комментарии — следите за ними в нашей статье.

А это запрос от приложения к серверу (сверху) с информацией вроде его версии, модели телефона, времени запуска, разрешении дисплея. Вроде бы все нормально, но…

В ответ телефону приходит информация (снизу) о том, как записывать видео с экрана.

Причем, параметр MaxVideoLength (максимальная длина видео) указан как «0», что значит — бесконечная запись (пока приложение запущено).

Т. е. — приложение не просто записывает экран, а делает это непрерывно, и ровно таким же образом непрерывно отсылает запись на сервер. Пользователи мобильного интернета (то есть почти все) такую «фичу» оценили, думаю.

Запись экрана передается как обычный *.mp4-поток:

image

Обратите внимание на адрес *.appsee.com/upload (AppSee — это видео-метрика для приложений) слева и сам файл *.mp4 справа (в заголовке информация о кодировании, чуть ниже — сам *.mp4).

Ну и вишенка на торте: экран записывается даже тогда, когда Вы вводите данные своей банковской карты в приложении (и это необходимо для осуществления заказа). Заметьте, все данные.

И финальная вишенка: мало того, что записывать экран — весьма сомнительное занятие, так еще к записанным видео имеют доступ не только разработчики приложения Burger King, но и различные партнеры AppSee (то есть — совершенно левые люди с неизвестными намерениями), да и сам AppSee тоже.

Напомню — видео записывается даже тогда, когда вы указываете данные своей банковской карты. И к нему имеют доступ кто попало.

Вот так выглядит само видео:

image

P.S.: да-да, вы могли читать этот пост в похожем виде на другом сайте, но такому бургер-огню явно место на Хабре. Надеюсь на понимание всех и НЛО.
AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама

Комментарии 471

    +6
    А как вы просниффали траффик. Он не шифруется?
      –2
      Судя по интерфейсу это Fiddler. Скорее всего запущен эмулятор Андройда с ПК.
        +21
        Подмена сертификата во время перехвата трафика. Cert pinning нет.
          –41

          Парень, а шаг с установкой Fiddler CA в систему ты пропустил? К чему твои повторяющиеся "нет certificate pinning"? Ты понимаешь вообще, для чего нужен CP или просто услышал где-то, что это круто (полагаю, CP мешает тебе "ковырять приложения" и вызывает чувства сходные с благоговением — это ведь магия, раз фиддлером не поснифать трафик!)? В браузерах его в принципе нет, но что-то никто на эту тему не парится, но при этом люди спокойно вводят данные своих кредиток.

          • НЛО прилетело и опубликовало эту надпись здесь
              +3
              Что значит «повторяющиеся нет certificate pinning»? Где еще они повторяются?
                +3
                В браузерах его в принципе нет

                А это не оно? en.wikipedia.org/wiki/HTTP_Public_Key_Pinning
                  +1
                  Это труп, который не работает.
                  –4

                  Да ладно, молодой кулхацкер нашел первую более менее нормальную "фичу" в своей жизни, расфорсил её, даже сделал свой мини блог под это дело) так бывает с кулхацкерами) простим ему это

                  0
                  Это таки Fiddler?
                +6
                Подобных мерзостей от этой компании и ожидал, поэтому не доверил им даже номер телефона.
                Кто-нибудь знает, возможно ли в условиях российской действительности устроить для компании какие-нибудь проблемы и вообще ответственность за подобное поведение?
                  +9
                  Запросто. Запостить на реддит.
                  • НЛО прилетело и опубликовало эту надпись здесь
                      +3
                      Пишите в r/privacy
                      Они поднимут
                        +1
                        Скорее авто-модератор. С Реддитом намучался в свое время из-за этого.
                      –36
                      Каких мерзостей? Человек залез в код, удалил сертификат, запустил приложение на эмуляторе. О чем речь? Вы осознаёте, что любой код можно переписать так, чтобы в него можно было вмешиваться?
                        +27
                        Как удаление сертификата оправдывает слежку за экраном пользователя без его ведома?
                          –6
                          Вы определитесь куда камнями кидать уже. Или в отсутствие шифрования, или в уязвимость, или в запись экрана.
                            0
                            Прошу прощения, не уловил тред про открытое соединение.
                              +2
                              В запись экрана, офк
                                +2
                                А кто тут кидается камнями в отсутствие шифрования? В упор не вижу…
                                  +1
                                  Не валяйте дурака :)
                                  Что плохого в бросании камней за всё?
                                +3
                                Я ничего не удалял, если что.
                                +13
                                Вот-вот, меня удивляет, у нас ведь по закону запрещено скрытое наблюдение, и даже покупка устройств для этого, а тут компания устраивает скрытую запись экрана пользователя. Было бы конечно хорошо, если какой-нибудь РКН взбесился и хоть раз сделал бы что-то полезное. Пусть разработчики испытают на себе то же, что и люди, заказывающие ручки с видеокамерой.
                                  0
                                  Пользователь сам дает согласие на такую запись. ToS никто не отменял — еще скажите, что Windows не предупреждает, что следит)
                                  p.s. " люди, заказывающие ручки с видеокамерой" — это зона ответственности не РКН, а ФСБ)
                                  А так любой желающий может накатать жалобу РКН на Бургер Кинг, но ответ будет очевидным — с точки зрения бумажного законодательства все четко, вы сами соглашаетесь с условиями использования приложения, а технически РКН не проверит так ли честны разрабы или нет.
                                    +12
                                    Есть же простое и этичное решение проблемы. Показать при первом запуске приложения попап с иконкой видеокамеры и надписью: «В целях улучшение приложения мы бы хотели вести видеозапись вашей активности в нем. Разрешить? Да/нет».

                                    Почему они так не делают? Потому, что они не хотят, чтобы 1) у пользователя был выбор 2) он вообще об этом знал.

                                    Это неправильно, должно быть наоборот.

                                    То, что вы предлагаете — «читать ToS» — это предложение жить в мире, где все пытаются друг друга обмануть и перехитрить. Где приходя в ресторан или гостиницу, вам придется прочитать целиком все юридические документы (а вдруг там написано, что вы обязаны потом пожизненно им платить за один раз оказанную услугу), где вам придется в автосалон или на собеседование на работу ходить с юристом (там вообще куча вариантов обмана). Где честный бизнес не может соревноваться с наперсточниками.

                                    Мне это не нужно. Мне нужен мир, в котором я могу пользоваться любыми приложениями и услугами, и знать, что они не будут следить за мной, а если попытаются, то их настигнет карающая рука закона. Где торговцев персональными данными преследуют сильнее чем торговцев наркотиками.
                                      –3

                                      Напомнить про Яндекс, Гугл, Майкрософт?

                                      +3
                                      > вы сами соглашаетесь с условиями использования приложения
                                      т.е. по-вашему туда можно написать все что угодно и законодательно это будет ОК, потому что нажали соглашение?
                                      +5
                                      Как бы — AppSee в том числе для этого и предназначена. Как и например — TestFairy.
                                      Оно полезно при разработке.
                                      Другое дело что вменяемые разработчики на экранах вроде вводе данных кредитки — выключают запись. Да и вообще используют такие вещи на альфа/бета-версиях.
                                      У AppSee же — Which sessions will be video recorded?
                                      Appsee automatically selects the sessions to record in order to provide a sufficient sample of your users. You can also manually select which sessions will be video recorded.

                                      Ну с другой стороны — считают что эти данные им нужны для отладки. А вы с этим — согласились (хотя вот ОЧЕНЬ интересно — если утекут номера кредиток через AppSee — Бургеркинг готов отвечать за это?).

                                      p.s.
                                      Сейчас пишу приложение, номеров кредиток там и близко нет (как и медицинских например данных) но есть данные которыми возможно пользователи не захотят делится даже с другими пользователями (сколько и за что они заработали).
                                      В лог пишется в том числе весь сетевой (расшифрованный) сетевой обмен, при сбоях — последние несколько десятков килобайт логов — улетают в Crashlytics.
                                      Не раз выручало при выяснении что не так.
                                      Но если таким способом что-то секретное утечет через нашу компанию — сначала этот клиент по шее даст компании, а и мне (или другим разработчикам с доступом) прилетит. NDA подписаны и там санкции прописаны.

                                        0
                                        Мне кажется, что сервисы типа AppSee и TestFairy в целом предназначены в первую очередь для тестовых сессий (например, тестировщик случайно крашнул приложение, а потом по видео смог восстановить свои шаги), а не для массового использования в проде.
                                    +8
                                    А выложи-ка само видео? Кстати, ты говорил, что оно еще и прикосновения пишет параллельно?
                                      +16
                                      У него нет такого видео. Автор просто соврал. На Пикабу эту историю успешно схавали. Если тут тоже схавают без фактчека — будет смешно.

                                      appsee блюрит поля ввода. Так что данные карты не видны.

                                      image
                                        +3
                                        AppSee замазывает поля только если это указать отдельно.
                                          +11
                                          Да именно так. Вы проверили что в приложении BK они не замазываются? Или это из серии «а если бы вот они не замазывали — они бы получили данные»
                                            +6
                                            А что даст эта проверка, если настройку в любой момент может изменить как эксплуататор приложения, так и злоумышленник, неправомерно получивший доступ к его системе, либо подменивший JSON, прилетающий программе с сервера?
                                          –1
                                          И… Это всё, что Вы можете на это сказать? Что сервис записи видео замазывает поля ввода?

                                          А то, что программа заказа бургеров без разрешения и огласки записывает экран — это, типа, нормальное поведение?!

                                          Данный функционал должен быть отражен в списке разрешений. Чтобы я его мог отключить.
                                            +30
                                            А Хабр использует Яндекс метрику с флагом webvisor:true и тоже нигде об этом не пишет.
                                            Скорее закрывайте браузер!

                                            *сарказм*
                                              –5
                                              Скорее принимайте законы о защите приватности :)
                                                +5
                                                Уже приняли закон о отмене приватности, сарян.
                                                0
                                                Вот поэтому я и не использую приложения, а только сайты. На сайте я могу порубить всю эту оналитику.
                                                  0
                                                  В приложении тоже можно порубить «оналитику», если, например, использовать свой DNS.
                                                  0
                                                  Да, а потом Хабр просит не юзать Адблок. Да и вообще если Хабр это делает, это не значит, что Бургер тоже это делать может.
                                                    0
                                                    А аналитику рубит не Адблок, а Ghostery и подобные приложения про них Хабр ничего не просит.
                                                      0

                                                      Ну ublock вроде как блочит аналитику. Хотя нужно это узнать точно.

                                                        +1
                                                        Блочит.
                                                        EasyPrivacy
                                                        [Adblock Plus 1.1]
                                                        ! Version: 201807170422
                                                        ! Title: EasyPrivacy
                                                        ! Last modified: 17 Jul 2018 04:22 UTC
                                                        ! Expires: 4 days (update frequency)
                                                        ! Homepage: easylist.to
                                                        ! Licence: easylist.to/pages/licence.html
                                                        !
                                                        ! Please report any unblocked tracking or problems
                                                        ! in the forums (https://forums.lanik.us/)
                                                        ! or via e-mail (easylist.subscription@gmail.com).
                                                        !
                                                        ! -----------------General tracking systems-----------------!
                                                        ! *** easylist:easyprivacy/easyprivacy_general.txt ***
                                                        &action=js_stats&
                                                        &callback=hitStats_
                                                        &ctxId=*&pubId=*&clientDT=
                                                        &ctxId=*&pubId=*&objId=
                                                        &event=view&
                                                        &http_referer=$script
                                                        &pageReferrer=
                                                        &ref=*&tag=
                                                        &refer=http$script
                                                        &refererPageDetail=
                                                        &trackingserver=
                                                        -AdTracking.
                                                        -analitycs//fab.
                                                        -analitycs//ga.
                                                        -analitycs//metrica.

                                                        /yandex-metrica-watch/*
                                                        /yandex-metrika.js
                                                        /yastat.js

                                                        ||yandex-metrica.ru^$third-party

                                                        ||an.yandex.ru^

                                                        ||mc.yandex.ru^
                                                        … итд
                                                  +15
                                                  если вы почитаете ToS BK, то увидите что вы даете разрешение на доступ к этим данным. И с добрым утром, такая телеметрия есть в любом продвинутом приложении. Хорошо это или плохо — это отдельный вопрос.
                                                  Но автор несет чушь.
                                                  — Утверждает, что AppSee может слить эти данные — но в PP сервиса указано, что доступ к этим данным имет толкьо их сервис провайдеры типо хостеров и т д.
                                                  — Утверждает что на запись попадают данные карт. Но не предоставил пруфов, что в видео действительно уходят данные карт не заблюренные.
                                                    –6
                                                    > Утверждает, что AppSee может слить эти данные — но в PP сервиса указано, что доступ к этим данным имет толкьо их сервис провайдеры типо хостеров и т д.

                                                    Ну вот фитнес-трекер слил расположение военных баз например, хотя у него тоже была privacy policy и прочие имитирующие саморегулирование документы. Тут нужен государственный кулак, без него капиталистов в погоне за прибылью не угомонить.

                                                    > сли вы почитаете ToS BK, то увидите что вы даете разрешение на доступ к этим данным.

                                                    Это неправильно. Рекламировать приложение как способ удобного заказа бургеров, а по факту следить за пользователями. Почему они в рекламе это не пишут, а прячут в ToS?

                                                    Вот представьте, вы будете покупать машину, а в автосалоне вам в договор припишут мелким шрифтом, что это не продажа машины, а сдача ее в аренду на месяц за полную стоимость. Или что предоплата в размере 30%, которую вы внесли, не входит в стоимость машины, а лишь оплачивает ее демонстрацию вам. Или вам предложат купить лекартсво, излечивающее болезнь, а в договоре мелким шрифтом напишут, что это просто витамины и что согласно научным исследованиям они действительно улучшают здоровье.

                                                    Вы наверно скажете, что это нормально, что надо читать договор, но вот правоохранительные органы могут такое квалифицировать как мошенничество. Думаю, и с тайной слежкой должно быть то же самое. У нас ведь запрещен оборот устройств (а хотят добавить сюда и программы) для скрытой съемки, а с точки зрения пользователя, это и есть скрытая съемка экрана.

                                                    Капиталисты сами себя не урегулируют — они напишут в ToS что вы обязаны продать им душу — потому нужен государственный кулак, который будет над ними висеть. Мы видим, к сожалению, что другие варианты не работают.
                                                      0
                                                      Абстрагируясь от сути топика.
                                                      Если уходить в правовое поле — есть нормативные акты, регулирующие правила написания контрактов и соглашений. При их нарушении крупную интернациональную корпорацию заставят принять противоестественную позу и выплатить ВЕСЬМА ощутимый штраф.
                                                      Или Вы думаете что у компании уровня бургеркники юристы уровня «папа протащил на юрфак»?
                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                    +29
                                                    Если тут тоже схавают без фактчека — будет смешно.

                                                    И судя по рейтингу статьи вполне себе схавали. Ну раз в статье джейсоны, и скрины админских тулзов — значит серьезное расследование, зачем разбираться. Очень обидно за хабр.
                                                      +15
                                                      Обидно ещё и за аудиторию: у большинства нет сомнений, что корпорации их обворовывают, прослушивают, бигдатят и зомбируют. А хрен с ним, что в ЕС, РФ и США действует тонна законов, регулирующих и ограничивающих сбор данных, а большие корпорации – первая цель для всех проверяющих органов. Хрен с ним, что AppSee зарегистрирована как компания и имеет кучу партнёров уровня Samsung и eBay. Хрен с ним, что приложение прошло AppStore Review и у него есть разработчик с именами и фамилиями. Не, это всё не берётся в расчёт. Раз я могу быстро забацать в xCode приложение и отправлять себе на домашний сервер свои же данные, то совершенно очевидно, что крупные корпорации делают так же и не имеют никаких последствий от многочисленных комиссий и комитетов, которые с этого живут.

                                                      Увы, критическое мышление и проверка источников – это потенциальные возможности, а не имманентные человеку данности. Желтизна такая желтизна.
                                                        +12
                                                        А компания Burger King как рекламирует свое приложение? Как приложение для желающих бесплатно поработать тестером и разрешить запись их экрана или как приложение для заказа бургеров? По моему, это разные вещи.

                                                        Это и есть обман. Есть мошенники, которые продают пенсионерам за огромные деньги витамины под видом лекарств для их болезни, а есть компании, которые обещают одно, а тайком делают другое.

                                                        Мне, наоборот, непонятна логика тех, кто это защищает. Вам нравится, что компании следят за вами и ущемляют ваши права — это, конечно, ваше дело, но почему от этого должны страдать другие?

                                                        > Хрен с ним, что приложение прошло AppStore Review и у него есть разработчик с именами и фамилиями.

                                                        И? это говорит лишь о том, что AppStore Review не очень беспокоит приватность пользователей, если ее нарушение прописано где-то в глубине ToS.
                                                          +7
                                                          Господа… надеюсь тут все разработчики и мы все прекрасно понимаем, что нельзя отловить все баги на этапе тестирования. Конечные пользователи не умеют писать багрепорты (единицы на самом деле). Они будут в комментах паниковать и орать.
                                                          Что в таком случае вы предлагаете делать?
                                                            +12
                                                            Все критические баги найти более чем реально, либо вы не тестированием, а неизвестно чем занимаетесь. Обычно, баги, которые не удалось отловить на этапе тестирования, повторить тяжело в принципе, даже имея видео. AppSee больше нацелено на замену рядовых тестировщиков.

                                                            Они будут в комментах паниковать и орать.
                                                            Что в таком случае вы предлагаете делать?
                                                            Как разработчик вы должны знать, что в комментах всегда кто-то будет орать и паниковать.
                                                              0
                                                              Не представляю, как видео с экрана может помочь выловить баги. Это должны быть баги размером с паровоз. Копить логи на дивайсе, а при крэше приложения сливать их на сервер — решение гораздо более полезное во всех отношениях. Можно даже не сразу сливать, а только по команде с сервера.
                                                                +5
                                                                Я лично видео + логи сопоставляю. Пару раз помогло отловить серьёзные баги, которые на этапе внутреннего тестирования не заметили. И это не вина тестировщиков. Баги были нереально редки и встречались только на определённом железе еще. Бывает всякое.

                                                                БГ нужно было оповестить о том, что есть запись видео и её можно отключить в настройках.
                                                                  +4
                                                                  Вы явно не разрабаотывали мобильного приложения с большим количеством юзер-путей. С логами всегда одна и та же проблема — либо они избыточно подробные, и их невозможно адекватно анализировать, либо слишком скупы. Да и на этапе разработки не всегда очевидно какие данные в логах понадобятся для дальнейшего анализа. А вот записанный сценарий использования — отличное подспорье для воспроизведения бага.
                                                                    0
                                                                    Как вариант — запись видео по запросу пользователя. Увидел какую-то проблему (не crash — он должен ловиться dump'ами) — залез в менюшку — отослать bug report, по запросу начинается запись экрана и в конце отправляется разработчику.
                                                                      0
                                                                      Когда баг произошел видео записывать уже поздновато. Запись видео частенько помогает отловить странные и трудновоспроизводимые баги.
                                                                  +2
                                                                  При запуске приложения показать попап и попросить разрешение на видеозапись экрана для улучшения приложения. Предложить варианты выбора «да» и «нет».

                                                                  Будет 100% этичное решение, и в тестировании будут участвовать только те, кто хочет.
                                                                  –3
                                                                  Как приложение для желающих бесплатно поработать тестером и разрешить запись их экрана или как приложение для заказа бургеров?

                                                                  А ещё у пользователей есть глаза, которыми можно увидеть разрешение на это в пользовательском соглашении. Если кто-то ленив и не хочет читать — это исключительно его проблемы, у нас взрослый мир, а не ясли, где всё надо разъяснять. Не удивлюсь, что при первом запуске был крыжик «разрешить отправлять информацию для улучшения приложения», который никто не снимал.
                                                                    0
                                                                    Не было никакого «крыжика».
                                                                      +7
                                                                      А вы, когда в ресторан приходите или в гостиницу заселяетесь, читаете все юридические документы? Не боитесь, что там будет «оформляя заказ, Клиент дает неотзываемое согласие на вступление и ежемесячную оплату взносов Клуба Успешных Людей. В случае нежелания вступать в Клуб, Клиент обязан покинуть заведение до оформления заказа»?

                                                                      А когда врач вам выписывает лекарство, вы читаете все документы? Не боитесь, что вам выпишут витамин C по завышенной цене и постелят соломку в пользовательском соглашении?

                                                                      Ну и машину вы конечно пойдете покупать только в компании юриста, да?

                                                                      Вы предлагаете идиотизм — обязать всех читать длинные юридические документы (а они будут длинными, я вам гарантирую) и разрешить обманывать не читающих их людей. А надо, чтобы никого нельзя было обманывать.
                                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                                          –1
                                                                          Я предлагаю адекватное госрегулирование, которое работает и проверено временем. К чему приводит отсутствие регулирования, мы уже увидели — бесконтрольные сбор и накопление перс. данных, утечки, скандалы.

                                                                          Это же не моя вина, что компании не могут без закона сами выработать адекватные правила обращения с перс. данными и правила раскрытия информации.

                                                                          > Не беспокойтесь, совсем бреда в капиталистических договорах не напишут, иначе найдётся какой-нибудь совсем обиженный капиталистический пользователь, который засудит эту большую компанию на большую сумму денег

                                                                          А почему? Потому что приняты специальные законы на эти случаи. Вы удивитесь, сколько различных законов напринимали, например, в позиционируемой как «самая свободная» стране США.

                                                                          Ну так давайте сделаем то же самое и для любителей прятать разрешение на слежку в ToS. Чтобы попытка обхитрить пользователя программы расценивалась судом так же, как попытка обмануть пациента или покупателя автомобиля всякими скрытыми комиссиями.
                                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                                +1
                                                                                Конституция дает только общее описание государственного устройства, а конкретизируется оно законами. Ну например, конституция не указывает, каким образом должно быть получено «согласие» на распространение данных — а капиталисты естественно заинтересованы в том, чтобы прописать это согласие в глубине пользовательского соглашения на 10000 слов.

                                                                                Потому закон, который запретит такие трюки, несомненно, будет полезен.

                                                                                Разумеется, хороший закон написать трудно, так же, как и написать хороший код. Для этого должно совпасть много факторов — и адекватное правительство, прислушивающееся к мнению граждан, и общественное обсуждение, и грамотные эксперты, и СМИ, освещающие дискуссии и выявляющие попытки пролоббировать выгодные для компаний пункты.

                                                                                Нынешнее правительство, которое не выбрано на конкурентных выборах, конечно, адекватным я не считаю. Но это не отменяет того факта, что кроме закона ваши персональные данные никто не защищтит. Вы можете хоть обвешаться адблоками и блокировщиками, но это не помешает сотовому оператору, интернет-магазину, банку раздавать ваши данные направо и налево.

                                                                                Ну серьезно, расскажите, как в отсутствие закона вы запретите сотовому оператору продавать данные о ваших звонках и вашем местоположении? А банку — о ваших финансах и тратах.
                                                                          +1
                                                                          Вы читаете все пользовательские соглашения? Сколько у вас примером уходит времени на установку, ну не знаю, Вайбера?
                                                                        +11
                                                                        Как раз-таки аудитория может смотреть шире на ситуацию, по крайней не так однозначно как Вы в Вашем сообщении, в котором мир представлен через призму розовых очков. Аудитория, например, может помнить про:

                                                                        у большинства нет сомнений, что корпорации их обворовывают, прослушивают, бигдатят и зомбируют.


                                                                        — то, что именно на этом строит свою бизнес-модель, например, Facebook и Google — одни из крупнейших компаний в мире; здесь на Хабре неоднократно постились статьи и комментарии с конкретными примерами, как то или иное приложение шпионит за пользователем — последний раз вчера в статье про колонку Яндекс.Станция;

                                                                        А хрен с ним, что в ЕС, РФ и США действует тонна законов, регулирующих и ограничивающих сбор данных, а большие корпорации – первая цель для всех проверяющих органов.


                                                                        — историю с Cambridge Analytica. Нахождение её штаб-квартиры в Великобритании, а Facebook — в США, как-то не помогло.

                                                                        что AppSee зарегистрирована как компания и имеет кучу партнёров уровня Samsung и eBay.


                                                                        — что наличие партнеров в определенный момент времени мало о чем говорит; стоит компании/лицу «замарать» свое имя, как партнеры сразу же разрывают любые деловые связи; наглядно в историях со спортсменами — не успело прозвучать обвинение в допинге/избиении жены/краже кроссовок из магазина, как на следующий же день от рекламодателей (партнеров) и след простыл;

                                                                        что приложение прошло AppStore Review


                                                                        — его же прошли и откровенно стремные приложения, например для джейлбрейка, замаксированное, если я правильно помню, под фонарик; если говорить про Android (под который также есть приложение «Бургер Кинг»), то с периодичностью раз в месяц публикуются статьи с оценкой количества откровенно вредоносных приложений — счет идет на тысячи.

                                                                        Так что не стоит обижаться на аудиторию Хабра — скепсис должен быть понятен.
                                                                        Причем вредоносное использование ранее собранных данных может произойти и без злого умысла, а просто по недосмотру или разгильдяйству — забыл админ сменить настройки по умолчанию, и вот твои данные уже в сети. Причем админ может быть ответственным за инфраструктуру военной базы — и всё равно он может забыть сменить стандартный пароль на рутере и обновить прошивку последнего.
                                                                          0
                                                                          Дорогой мой человек, это не розовые очки, а сущая реальность – большинство крупных компаний и даже государств (отдельные не в счёт) понятия не имеет, что им делать с таким объёмом данных о клиентах. После случая, когда в США спокойно въехали откровенные террористы просто потому, что данные на них были у одного ведомства, а границу проверяет другое, после ситуаций, когда в ЕС и США можно годами жить, платить всюду картой, брать в аренду машины и пользоваться мобильниками при полном отсутствии легальной визы, после того, как DHL Россия не может ничего поменять в заказе на моё имя, посланным из Чехии в Италию и посылает «звонить туда», после того, как Делимобиль постоянно звонит мне и предлагает новые тарифы, хотя сам же отказал в регистрации и запросил у меня бумажную справку из ГАИ о действительности прав (номера по базе и фотки им мало), после того, Apple Россия не может отменить ошибочный сертификат из США, после того, как я столкнулся с адовой бюрократией и семью начальниками, которые должны согласовать любой чих в больших компаниях, после всего этого я сильно сомневаюсь в том, что они умеют нормально обрабатывать бигдату. Какие-то отдельные запросы делают, но до нормального построения профиля клиента по косвенным данным ещё очень и очень далеко. Просто ещё руководство не понимает, что это такое.

                                                                          А по Вашему списку моих тезисов – я согласен с Вами, каждый этап можно объяснить и найти многочисленные примеры косяков. Но эти примеры рано или поздно становятся известными и ломают какой-то один уровень. Чтобы у такой большой корпорации месяцами работала явно противоправная схема, которую кто-то приказал разработать и внедрить, чтобы им повезло на всех этапах проверок, чтобы ни один начальничек не побоялся бы стать крайним, чтобы сознательно идти на столь опасную игру в правом поле последних законов, посвящать десятки человек в схему (а они вовсе не ЦРУ) – это больше похоже на конспирологию и сильное преувеличение разумности больших компаний.

                                                                          А так-то – да, идиотов всюду хватает и пароли стандартные оставляют, и пропуска не проверяют, и социальную инженерию никто не отменял. Но я бы не паниковал раньше срока.
                                                                            0
                                                                            последних законов

                                                                            Вот кстати последним европейским законам почти никто не соответствует. И ничего.
                                                                              0
                                                                              Пакету Яровой тоже пока никто не соответствует. Дело времени.
                                                                          0
                                                                          А хрен с ним, что в ЕС, РФ и США действует тонна законов, регулирующих и ограничивающих сбор данных, а большие корпорации – первая цель для всех проверяющих органов. Хрен с ним, что AppSee зарегистрирована как компания и имеет кучу партнёров уровня Samsung и eBay.
                                                                          И вот к чему приводят тонна законов и именитые бренды habr.com/post/416885
                                                                          +3

                                                                          А почему бы тебе не написать опровержение? Не будет обидно за хабр тогда. Хабр это мы и есть.

                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                            +2
                                                                            Если Вы человек в теме, и у Вас есть сейчас возможность повторить описанное в статье. То не могли бы Вы пожалуйста и файл с обработкой нажатий на экран проанализировать. А именно, в момент ввода кредитки пишутся ли события нажатия на клавиши клавиатуры?
                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                                +1
                                                                                fennikami вот это стоит в пост добавить, а то пока пустовато.
                                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                                    –2
                                                                                    Никто их в заблуждение не ввел.
                                                                                    Еще раз: телеметрия с записью экрана при вводе данных карты — не круто.
                                                                                    Вечером залью видео которое внезапно опровергает что у БК данные карты замазаны.
                                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                                        –1
                                                                                        Ну и метод ты нашел чтобы себя распиарить.
                                                                                          0
                                                                                          Пруфы обязательно надо прикладывать к таким обвинениям сразу.
                                                                                            0
                                                                                            Вечером можешь уже не заливать.
                                                                                            +1
                                                                                            Где видео?
                                                                                              +1
                                                                                              а вечер уже наступил?
                                                                                            +2
                                                                                            Уже добавил.
                                                                                              +1
                                                                                              Добавь следующее сообщение от 3amynoK
                                                                                                0
                                                                                                Почему-то я не вижу видео, только скриншот видеоплеера. Я что-то неправильно делаю? Можете дать ссылку на видео?
                                                                                                    +1
                                                                                                    На видео виден номер телефона, который является ПД. По номеру телефона можно, купив данные у дата-брокеров, например найти человека в других базах: базах покупок, базах пользователей скидок, базах бравших кредиты итд.

                                                                                                    Причем, что интересно, они требуют номер телефона для использования приложения, даже если ты хочешь просто посмотреть каталог товаров, и например придти и заказать их лично. Вот так отношение к людям.
                                                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                                        0
                                                                                        блюр не помогает, даже пикселизация не помогает (вспоминаем историю пару лет назад о коллективной расшифровке пикселизированной строки, кажется и нейронки потом этому научили)
                                                                                        +8
                                                                                        Да, видео было бы интересно глянуть, но что-то автор не спешит его выкладывать.

                                                                                        прикосновения пишет параллельно


                                                                                        Скажу честно, я в этом — ни уха ни рыла, но строчка UploadTouchEvents = True выглядит подозрительно.
                                                                                          +4
                                                                                          Пишет много чего www.appsee.com/features
                                                                                          Но все вполне официально и по GDPR)
                                                                                            –29
                                                                                            Что же вы этот GDPR суете везде?
                                                                                            GDPR — глупый закон, который сам по себе ну никак не помогает в privacy regain, и это не показатель.
                                                                                              –3
                                                                                              Правда что ли? А гиганты типа Google — дураки. Это они сами себе напредумывали в своей «гейроппе»
                                                                                                –2
                                                                                                Непонятно за что заминусили, ведь GDPR действительно ужасен. Он только увеличит стоимость разработки, издержки IT компаний, но никак не поможет с защитой приватности данных. Просто это всё будет делаться неформально самыми наглыми компаниями, а добропорядочные будут проигрывать конкуренцию. К appsee претензий не имею, но защищать GDPR… Серьезно?!
                                                                                                +2
                                                                                                получается так что именно appsee пишет видео, а не бургер кинг.
                                                                                                То есть аналитику ведет это приложение, а бургер выступает лишь как распространитель.
                                                                                                В любом случае писать данные карты да и вообще любые данные — на видео это жесть.
                                                                                                Это реально нарушение моей приватности. Это уже за гранью аналитики
                                                                                                  +1
                                                                                                  Нет. AppSee не сам пришел к вам на телефон, его установили разработчики Burger King. Это они следят за вами, а AppSee лишь производит инструмент для этого.
                                                                                                    +1
                                                                                                    appsee же платформа, и на её сервера идут все данные. Разве нет?
                                                                                                    Я конечно не пользовался, не знаю. Но в моем представлении это именно так и работает, исходя из опыта других продуктов. Того же вебвизора как выше упомянули
                                                                                                      0
                                                                                                      Модуль appsee пишет видео и отправляет на свой сервер откуда аналитики или разработчики бургер кинга забирают информацию, в том числе и записанное видео. Сами appsee вряд ли вообще просматривают их, там же миллионы видео файлов записываются, а им оно вообще не нужно.
                                                                                                  0
                                                                                                  некоторые еще харю пытаются писать без разрешения. Как то фонарики всякие, банковские приложения
                                                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                    0
                                                                                                    Не спешу выкладывать потому что я, внезапно, человек и мне надо спать после бессонной ночи.
                                                                                                    +1
                                                                                                    Привет, сейчас занят очень, но вечером залью из дампа как раз.
                                                                                                    –3

                                                                                                    Опять? Привыкните уже — приложения и сайты имеют аналитику, вебвизор и иные средства анализа взаимодействия пользователя с продуктом.

                                                                                                      +10
                                                                                                      Пусть и разработчики тогда привыкают, что пользователи всеми силами блочат эти «интересные» функции. Пост автора побудил меня наконец разобраться в вопросе и поставить на свой телефон блокировщик трафика и прочих следилок (я раньше неверно думал, что для этого требуется рут, оказалось не так), даже приобрёл это приложение, что делаю в исключительных случаях.
                                                                                                        0
                                                                                                        Что за приложение? Поставили первое попавшееся или провели какое исследование?
                                                                                                          +1
                                                                                                          Adguard возможно.
                                                                                                          Только я не уверен, что он подобное блокирует.
                                                                                                          +32
                                                                                                          и теперь за вами следит блокировщик трафика :-)
                                                                                                            0

                                                                                                            Лёгкая паранойя, вполне нормальное явление. Количество пользователей, которые блокируют аналитику обычно не превышает 30%. Так что и у разработчиков есть достаточно данных для анализа и пользователи довольны.

                                                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                +2
                                                                                                                Если вебвизор будет стоять на странице оплаты, где вводятся данные карты, то это большая проблема.
                                                                                                                  0
                                                                                                                  Стоял. И записывал. Действительно, можно было через вебвизор видеть, какие логин/пароль вводит пользователь. Но какое-то время назад Яндекс это пофиксил.
                                                                                                                    –1
                                                                                                                    Логин\пароль не так страшно, т.к. владелец имеет доступ к этим данным все равно. А вот данные карты — страшно, т.к. может быть сайт с каким-нибудь нормальным биллингом, который при этом будет собирать данные карт.
                                                                                                                      0

                                                                                                                      Шта? Нормальные девелоперы давно хешируют и солят пароли, так что даже они не знают их :/

                                                                                                                  +5
                                                                                                                  Лет 100 назад так же говорили про права рабочих и работодателей, и с тех времен произошли изменения: введены минимальная заработная плата, приняты дополнительные законы об охране труда.

                                                                                                                  Думаю, что и в случае с приватностью, надо не привыкать, а изменять систему.

                                                                                                                  Если компании нужно тестировать свое приложение на пользователях, пусть нанимают тестеров за бесплатные бургеры, а не используют людей в качестве подопытных свинок.
                                                                                                                    +1
                                                                                                                    Тут кто одеяло перетянет: если бы не потребность в узкоспециализированном высококвалифицированном труде, который позволил уже рабочим диктовать условия, то сейчас бы мы так и жили большинством в рабстве. Иногда возникает чувство, что благодаря информационным технологиям и глобализации ценность человеческой жизни снова падет…
                                                                                                                    0

                                                                                                                    Сами привыкайте, а мы будем резать.

                                                                                                                    +15
                                                                                                                    Вам уже на пикабу нормально ответили — что это вполне нормальное явление, которое не передает данные полей ввода, контролирует, чтобы отчеты шли через wifi и много другое, а так же соответсвует даже европейскому GDPR. Может все таки стоит больше изучать техническую часть, а делать желтые заголовки и громкие заявления.
                                                                                                                    Кстати их прилождение одно из лучших в категории «Еда» — я их за последнее время десятки изучил.
                                                                                                                    appsee — нужен для улучшения приложения, неужели Вы этого не понимаете?
                                                                                                                      +3
                                                                                                                      Не знаю, чем оно лучшее, оно глючное. Грузится долго, часть товаров вообще не даёт добавить в корзину (кнопка обавления неактивна).
                                                                                                                        –2
                                                                                                                        с точки зрения функциональности и подхода формирования заказа. Про стабильность ничего не могу сказать…
                                                                                                                          0
                                                                                                                          Так глючит-то его как раз из-за апси. Представляете, как он нагружает смартфон? Плюс ещё и трафик дико жрет. На своем приложении использовали по мере необходимости. Но отвал пользователей был адовый. Сейчас ребята российские похожий сервис двигают. Обещают, что влияние на работу смартфона минимальное. Будем тестить.
                                                                                                                          0
                                                                                                                          Только та же телеметрия в вебе приводит к массовой переделке сайтов в вид с 3 огромными словами и одной картинкой на весь многодюймовый монитор и необходимостью постоянно скролить. Не видно то есть никакого улучшения, видно какой-то ужасный идиотизм.
                                                                                                                            +5
                                                                                                                            я думаю это не с телеметрией связано, это скорее к трендам дизайна вопрос.
                                                                                                                              +3
                                                                                                                              Три огромные слова и картинка появились не из-за телеметрии, а из-за роста мобильного трафика, где это действительно выглядит в тему. И когда это лендинг, на котором минимум информации, то все хорошо и красиво. Проблемой это становится тогда, когда сайт где много контента делают в таком виде. Но увы, на мобильных иначе читать сложно.
                                                                                                                                0
                                                                                                                                Так делают же отдельные версии сайтов под мобильные браузеры. Зачем заставлять людей на десктопах видеть 3 слова и картинку на мониторе 27 дюймов фулл-хд?
                                                                                                                                Тот же вопрос банкам с таким же дизайном. Банки часто предлагают под смартфоны свои приложения и скорее всего мало кто будет уродоваться на смартфоне через браузер.
                                                                                                                                  0

                                                                                                                                  Банки приложения, конечно, предлагают. Но к остальным сайтам это имеет мало отношения. Глупо писать приложение, если не осилил мобильную версию — люди не будут ставить тысячу приложений, а значит небольшой сайт просто потеряет аудиторию. Разумнее уж мобильную версию допилить.

                                                                                                                                    0
                                                                                                                                    Потому что доля мобильного трафика больше половины, а разработка и поддержка двух версий стоит денег.
                                                                                                                                –18
                                                                                                                                Вам уже на пикабу нормально ответили — что это вполне нормальное явление, которое не передает данные полей ввода, контролирует, чтобы отчеты шли через wifi и много другое

                                                                                                                                Давайте по пунктам:
                                                                                                                                1. Данные полей не передаются только если отдельно указать что вот мол этот и этот TextField — Sensitive View. Там нет магии которая чудным образом узнает где же тут приватные поля и цензурит их.
                                                                                                                                2. Приложение BK не отдает информацию о подключении к WiFi / Cellular, а значит — не может контролировать это.
                                                                                                                                3. Про GDPR отвечу свои комментом выше:
                                                                                                                                Что же вы этот GDPR суете везде?
                                                                                                                                GDPR — глупый закон, который сам по себе ну никак не помогает в privacy regain, и это не показатель.

                                                                                                                                И напоследок:
                                                                                                                                Кстати их прилождение одно из лучших в категории «Еда»

                                                                                                                                Кстати, этот коммент совсем не рекламный!
                                                                                                                                  +15
                                                                                                                                  давайте по пунктам:
                                                                                                                                  1. можно увидеть видео с пруфом что парметр не стоит?
                                                                                                                                  2. не берусь судить, надеюсь тут найдутся люди, кто сможет подтвердить или опровергнуть.
                                                                                                                                  3. GDPR — это ппц какое количество правил и указаний по защите персональных данных пользоавтеля — так что это показатель.
                                                                                                                                  4. про оценку приложения — это мое личное мнение, как человека, который много исследует приложения в категории «Еда» на предмет фишечек и функционала. К бургер кингу я не имею ни какого отношения( я fullstack разработчик в «Европлан»- это лизинг)
                                                                                                                                  Пока ваша статья выглядит — как победа параноика над здравым смыслом и желание пиара.
                                                                                                                                    +4
                                                                                                                                    GDPR — это ппц какое количество правил и указаний по защите персональных данных пользоавтеля — так что это показатель.


                                                                                                                                    Ну и что толку, если соответствующее GDPR приложение пишет видео с экрана и отсылает левым людям?
                                                                                                                                      +2
                                                                                                                                      GDPR — это ппц какое количество правил и указаний по защите персональных данных пользоавтеля — так что это показатель.

                                                                                                                                      Я никогда не изучал этот момент, но подозреваю, что в России всегда были достаточно хорошие законы, защищающие окологосударственные БД. Как там сейчас, уже нельзя достать БД с паспортными данными граждан РФ?


                                                                                                                                      Так и GDPR. Он говорит как надо защищать и как будут наказывать, если этого не делать. Но все всегда вольны не делать и, возможно, огрести по всей строгости закона.

                                                                                                                                        0
                                                                                                                                        1. можно увидеть видео с пруфом что парметр не стоит?

                                                                                                                                        Таки логично запрашивать, наоборот, видео с пруфом, что он стоит.
                                                                                                                                        И не только видео.
                                                                                                                                          +1
                                                                                                                                          Так может стоило им написать и дождаться ответа, а не поднимать шум с желтыми заголовками?
                                                                                                                                        +3
                                                                                                                                        GDPR не глупый. Законодатель увидел, что компании не заинтересованы в охране персональных данных, что там начался дикий капитализм и пришел к выводу, что нужны юридические ограничения. С капиталистами по-другому никак.
                                                                                                                                          –1
                                                                                                                                          GDPR не глупый

                                                                                                                                          Ага не глупый. Он создаёт огромные затраты индустрии на соответствие закону, который всё-равно не будет работать. Думаете компании действительно будут удалять информацию пользователей по запросу? Это просто очередной налог и рост бюрократии, который оплатит в итоге потребитель.

                                                                                                                                          С капиталистами по-другому никак.

                                                                                                                                          Ну вот такими статьями как эта можно воздействовать, создавать институт репутации. Зачем распильные законы плодить?
                                                                                                                                            +2
                                                                                                                                            Вы плохо понимаете закон. Суть закона очень проста: персональные данные принадлежат не тому, кто их собрал, а пользователю. И охраняются законом. Вот и все.

                                                                                                                                            Если вы честный и порядочный бизнес, который уважает своего пользователя, то для вас с приходом закона скорее всего ничего не изменилось.

                                                                                                                                            > Думаете компании действительно будут удалять информацию

                                                                                                                                            думаю, крупные западные компании будут, так как Европа это не кучка аборигенов (или россиян), чье мнение можно проигнорировать.

                                                                                                                                            > Он создаёт огромные затраты индустрии на соответствие закону

                                                                                                                                            В чем затраты? Дописать код для замены по запросу в базе данных «Иванов Иван» на «Удален Удален»? Я уверен, что блестящие разработчики в IT-компаниях такую задачу за день максимум решат.

                                                                                                                                            Расскажите мне про затраты.

                                                                                                                                            Да, для кого-то, кто привык зарабатывать продажей персональных данных дата-брокерам, теперь стало труднее это делать. Пусть займутся чем-нибудь другим.

                                                                                                                                            >, создавать институт репутации

                                                                                                                                            Вот смотрите, у нас был период нерегулируемого оборота перс. данных, и к чему он привел? Только к утечкам, скандалам и злоупотреблениям. Где ваш институт репутации? Работает? Вы мне верующего напоминаете, а вместо слепой веры попробуйте посмотреть на нынешнюю ситуацию.

                                                                                                                                            Нет. Потому нужно отрегулировать эту сферу законодательно, так как другие механизмы не работают и мы скатываемся в дикий капитализм. Я хочу, чтобы можно было пользоваться любыми современными сервисами, но не жертвовать своей приватностью и не пополнять чьи-то базы данных. Кроме государства, это никто не обеспечит.
                                                                                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                                +1
                                                                                                                                                Если вы не храните персональные данные в блокчейне (зачем??), то все законно.
                                                                                                                                                0
                                                                                                                                                Расскажите мне про затраты.

                                                                                                                                                Во всех крупных компаниях — создать и провести тренинги по GDPR, убедиться что сотрудники будут его соблюдать. Если проверок много — затраты на содержания армии бюрократов государством, затраты компаний на подготовку к этимпроверкам (в некоторых случаях коррупционые). Затраты на внутренние проверки, чтобы следовать закону — иначе платить штраф из-за Васи, который накосячил в функции удаления данных.
                                                                                                                                                Если проверок от государства почти нет — то закон ничего не меняет, для недобросовестных компаний, но осложняет жизнь добросовестным. Т.е. на конкурентном рынке хорошие компании будут проигрывать плохим.
                                                                                                                                                Сколько стоит отвлекать сотрудников от работы для информирования о GDPR, сколько стоит создание треннингов, сколько стоит для каждого онлайн сервиса создать соглашение о работе GDPR, сколько стоит готовиться к проверкам по закону, сколько стоит для каждого продукта компании отвлечь программистана дописать код для замены по запросу в базе данных «Иванов Иван» на «Удален Удален», сколько стоит постоянно проверять, что этот код работает правильно? Всё в сумме — большие деньги и много времени.

                                                                                                                                                Я хочу, чтобы можно было пользоваться любыми современными сервисами, но не жертвовать своей приватностью и не пополнять чьи-то базы данных. Кроме государства, это никто не обеспечит.

                                                                                                                                                Не нравится, что ваши данные используют — не пользуйтесь сервисом, у которого в соглашении написано, что он может их передавать третьим лицам. Государство может обеспечить лишь справедливый суд, то что не пополняются чьи-то базы не может обсепечить никакой закон. Всегда можно написать отдельный модуль, который шифрует данные и хранит на отдельном сервере, на случай проверки. Как тут поможет закон?
                                                                                                                                                Если заметили, что ваши данные утекают и это протеворечит соглашению — судитесь с компанией. Зачем GDPR?

                                                                                                                                                Вы плохо понимаете закон. Суть закона очень проста: персональные данные принадлежат не тому, кто их собрал, а пользователю.

                                                                                                                                                То что там так написано — не значит, что оно так будет работать. Кто-то будет шифроваться, кто-то даст взятку, кто-то просто забьёт на соблюдение закона. Соблюдать будут только те, кто и до этого не торговал данными, только теперь им придётся ещё больше ресурсов тратить на это.
                                                                                                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                              0
                                                                                                                                              Данные полей не передаются только если отдельно указать что вот мол этот и этот TextField — Sensitive View.

                                                                                                                                              Доказательства, что в приложении БК поля ввода ПД — не установлены как Sensitive View?
                                                                                                                                              Приложение BK не отдает информацию о подключении к WiFi / Cellular, а значит — не может контролировать это.

                                                                                                                                              Опять же, доказательства? Да и проверить это можно по маршруту легко, диапозоны ip провайдеров мобильного интернета известны давно и находятся в свободном доступе.
                                                                                                                                              GDPR — глупый закон

                                                                                                                                              Это отменяет необходимость его соблюдения, и соответствие ему предмета обсуждения? Или вы у нас поклонник подхода «мне не нравится этот закон, я не буду его соблюдать»?
                                                                                                                                                +1
                                                                                                                                                А на каком основании он должен доказывать, а вы не должны? Вы(вернее автор заглавного коммента) утверждали, что что-то есть, а автор стать то, что этого нет. Как минимум доказывать должны оба, а по правилам должны доказывать вы.
                                                                                                                                                0
                                                                                                                                                2. чтобы контролировать подключение к WiFi / Cellular эту инфу как раз и не надо передавать. Приложение само (на стороне клиента) может узнать эту информацию от OS API и решить — передавать ли видос или нет. Так что тут все ровно
                                                                                                                                                +6

                                                                                                                                                Всё это не должно работать на странице ввода чувствительных данных и точка.


                                                                                                                                                Либо не записывать данные вообще, либо в какой-то момент заблюренные этим алгоритмом области могут научиться восстанавливать. А если это sdk не блюрит, а вырезает куски экрана с видео, то в какой-то момент может произойти ошибка и данные не будут вырезаны. Может даже ошибка не на стороне разработчиков sdk: телефонов на android куча, многие производители модифицируют ОС под себя и грабли могут оказаться там, где их не ожидали.

                                                                                                                                                  +4
                                                                                                                                                  Это должно работать на специально нанятых людях-тестерах. Если приложение рекламирует себя как приложение для заказа бургеров, то оно этим и должно заниматься, а не записывать тайком видео с экрана.

                                                                                                                                                  Тестировать должны тестеры, а не случайные пользователи.

                                                                                                                                                  Есть такое понятие, как «expectation of privacy». Мы ожидаем, что когда мы смотрим каталог бургеров, никто не заглядываем нам в телефон через плечо.
                                                                                                                                                    0
                                                                                                                                                    Почему же тайком? В Terms of Use, которые необходимо принять для регистрации, всё это написано, что пользователь даёт согласие на сбор всевозможной статистической и аналитической информации (не содержащей персональных данных) всеми доступными способами, которые не противоречат действующему законодательству.

                                                                                                                                                    Я понимаю, что никто их не читает и все ставят галочку акцепта на автомате, но вот возмущаться потом из-за этого — как минимум странно.
                                                                                                                                                      0
                                                                                                                                                      Это же типичная капиталистическая уловка: следить за людьми нельзя, а давайте пропишем это где-нибудь в глубине ToS, который никто не читает, и будем следить.

                                                                                                                                                      Нет, так не должно быть. Человек, пользуясь приложением, не ожидает, что кто-то будет стоять у него за плечом и смотреть в экран.

                                                                                                                                                      Представьте, если все начнут пользоваться такими уловками. Вы приходите к врачу, он вам говорит: вот дорогое лекарство, которое поможет вам в лечении. А в договоре мелкими буквами написано: согласно научным исследованиям, витамин C повышает сопротивляемость организма и повышает шанс выздоровления, потому вы согласны считать его лекарством. Вы приходите в автосалон, а там в договоре написано: предоплата в размере 30% не входит в стоимость машины, а лишь является оплатой работы по демонстрации автомобиля. Вы приходите в ресторан, а там в конце меню написано: «сделав заказ в нашем ресторане, вы соглашаетесь на пожизненную ежемесячную оплату в размере XXX р». Вы устраиваетесь на работу, а в внутреннем распорядке компании (нет, не в трудовом договоре) написано: «если работник не успел сделать задачу за отведенное руководителем время, для компенсации причиненного убытка следующие 12 месяцев он обязан работать по 12 часов в сутки. Работодатель имеет право менять Внутренний Порядок без предварительного уведомления».
                                                                                                                                                        +3
                                                                                                                                                        Я всё равно не понимаю, в чём слежка-то заключается? Снимают не вас, снимают даже не экран устройства в целом, просто приложение записывает себя же, запись других приложений не ведётся.

                                                                                                                                                        Да и вообще, а если бы ваши действия в нём не записывались на видео а просто тщательно логировались в текстовом виде и отправлялись на сервер — вам было бы спокойнее?
                                                                                                                                                          +5
                                                                                                                                                          Этот товарищ политрук вообще не про слежку тут речи толкает. А про то, что капитализм это плохо. А есть там слежка или нет её — это неважно, главное, что есть повод залезть на броневичок.
                                                                                                                                                  +17
                                                                                                                                                  Самое ненормальное во всем этом явлении то, что многие люди уже считают это нормальным. Ну подумаешь в спальню залезли… но это же поможет производителю кроватей улучшить свой продукт! Попутно поделившись данными о твоей частной жизни с парой десятков «партнеров».
                                                                                                                                                    +1
                                                                                                                                                    Это Вы еще про Google не знаете.
                                                                                                                                                      +3
                                                                                                                                                      В какую спальню?? Максимум залезли в камеры в своем же магазине, когда вы там были, и посмотрели, что там люди делают.
                                                                                                                                                        0
                                                                                                                                                        Телефон принадлежит юзеру, а не им. Следовательно, территория юзерская.
                                                                                                                                                          –1

                                                                                                                                                          Приложение пренадлижит не юзеру, а бургер кингу. Территория их. Это как если бы магазин вел статистику, где трудней всего ходить и где больше всего спотыкается народ

                                                                                                                                                            +2
                                                                                                                                                            Совсем там все упоролись в вашем 21 веке с подменой понятий.
                                                                                                                                                            Но в нормальной системе логики главный на устройстве — компьютере, телефоне, автомобиле, холодильнике, чем угодно — его хозяин.
                                                                                                                                                        0
                                                                                                                                                        Только почему ваша спальня находится в здании бургер кинга, а люди из бургер кинга во время вашего отсутствия спокойно переделывают интерьер вашей спальни и вы совсем не против? :)
                                                                                                                                                        0
                                                                                                                                                        Чтобы улучшать приложение, необязательно использовать пользователей в качестве подопытных свинок. Можно нанять тестеров (например за бесплатный бургер) и тестировать на них.
                                                                                                                                                          +3
                                                                                                                                                          так получается что они собственно так и делают
                                                                                                                                                            0
                                                                                                                                                            А вы приложение поставили не ради промокодов?
                                                                                                                                                              0
                                                                                                                                                              Даже если ради промокодов — пусть честно скажут, что они собирают в обмен на промокоды. Честная сделка происходит тогда, когда оба участника знают ее полные условия. А когда один участник обещает «бесплатные промокоды», и скрывает, что он заберет взамен — они находятся в неравных условиях.
                                                                                                                                                                0
                                                                                                                                                                Чисто из любопытства, вы как себе это представляете?

                                                                                                                                                                Ну, например, ролик по телевизору
                                                                                                                                                                «Яндекс. Найдётся всё!
                                                                                                                                                                В обмен мы продаём вас рекламодателям, для чего собираем:
                                                                                                                                                                — ваши поисковые запросы
                                                                                                                                                                — видео с экрана
                                                                                                                                                                — …
                                                                                                                                                                — …
                                                                                                                                                                — …
                                                                                                                                                                — …
                                                                                                                                                                — …
                                                                                                                                                                [62 пункта вырезано]
                                                                                                                                                                — …
                                                                                                                                                                »
                                                                                                                                                                  0
                                                                                                                                                                  Найдётся всё — и вы найдёте, и вас найдут.
                                                                                                                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                                            0

                                                                                                                                                            Я могу написать приложение, которое будет снимать вас в туалете, при этом маскироваться под видеочат к примеру. Вы позволите себя снимать? Обещаю, оно будет лучшим в категории "извращения". А снимать оно будет естественно только для улучшения своей статистики) Поставите?)

                                                                                                                                                            +10
                                                                                                                                                            Вы открыли для себя сервис сбора статистики для мобильных приложений. Установлен флаг DetectCrashes (обычно видео используется для выяснения, что привело к падению приложения). Полистав сайт, можно увидеть, в каких приложениях еще используется этот сервис.

                                                                                                                                                            видео записывается даже тогда, когда вы указываете данные своей банковской карты
                                                                                                                                                            Это действительно так?
                                                                                                                                                              +10
                                                                                                                                                              Нет, конечно. Просто пользователи Пикабу открыли для себя дивный мир мобильной аналитики.
                                                                                                                                                                +3
                                                                                                                                                                Самое смешное, что это не заставит их перестать пользоваться мобильным приложением самого Пикабу, которое содержит:

                                                                                                                                                                — Google measurement
                                                                                                                                                                — Google Ads
                                                                                                                                                                — Appsflyer analytics/tracking
                                                                                                                                                                — Clevertap analytics/tracking
                                                                                                                                                                — io.branch.sdk metrics/analytics
                                                                                                                                                                — Yandex metrica/ads
                                                                                                                                                                — io.fabric.sdk metrics/analytics
                                                                                                                                                                — сервис аналитики самого Пикабу
                                                                                                                                                                — Google login (GooglePlus login)
                                                                                                                                                                — Twitter login
                                                                                                                                                                — Facebook login
                                                                                                                                                                — VK login
                                                                                                                                                                — Crashlytics

                                                                                                                                                                Последние пункты делают хоть что-то полезное, а остальное нужно лишь для анализа поведения пользователя и показа рекламы. Но поста про это на самом Пикабу никогда не будет, верно?
                                                                                                                                                                  0
                                                                                                                                                                  А если копнуть в настройки приватности гугла и вообще в его сервисы на Android, то придется переходить на кнопочные телефоны 2000х годов… У большей части юзеров пишется история передвижений, интересно, как они на это отреагируют?
                                                                                                                                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                                                      0
                                                                                                                                                                      Смотря каких.
                                                                                                                                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                                                      0
                                                                                                                                                                      Я вам щас открою страаааашную тайну.
                                                                                                                                                                      Есть Андройд смартфоны на чистом AOSP которые за тобой не следят.
                                                                                                                                                                        0
                                                                                                                                                                        Ничего подобного. Возьмите билд андроида, запустите на qemu каком-нибудь и посмотрите трафик.
                                                                                                                                                                          0
                                                                                                                                                                          В чистом андройде нет google api и он ничего не отправляет.
                                                                                                                                                                            0
                                                                                                                                                                            Учитывая то, кто у нас вендор Андроида, ваше утверждение выглядит крайне сомнительно.
                                                                                                                                                                              –1
                                                                                                                                                                              О, анаэробная форма жизни, давно не виделись!
                                                                                                                                                                              На вашей планете что, и Андроид другой?
                                                                                                                                                                              Если серьёзно, в чистом Андроиде нету 3 китов гугла: Market, Services и API, по сути без них Андроид с Гуглом не связан вообще никак.
                                                                                                                                                                              Ещё можете посмотреть на replicant.us
                                                                                                                                                                  –8
                                                                                                                                                                  обычно видео используется для выяснения, что привело к падению приложения

                                                                                                                                                                  Видео прямым потоком лилось на сервак AppSee, только вот приложение у меня ни разу не падало.
                                                                                                                                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                                                      +3
                                                                                                                                                                      Хотелось поинтересоваться, как вы предскажете краш вашего приложения и за несколько секунд до этого начнете запись экрана?
                                                                                                                                                                      Писать видео всегда, но отправлять только небольшой кусок до момента краша при повторном запуске приложения.
                                                                                                                                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                                                            +1
                                                                                                                                                                            В том и дело, основная цель AppSee — это обратная связь для улучшения интерфейса. Именно поэтому, с точки зрения AppSe, видео резать нет смысла — для анализа нужны все действия пользователя, начиная от первого запуска приложения. Не понимаю, как получилось, что во многих комментариях в этой теме разговор перетек в отлавливание багов, т.к. это уже дополнительная фича, которая скорее случайно поддерживается просто потому что реализация основной цели сервиса AppSee уже предоставила весь функционал.
                                                                                                                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                                                                0
                                                                                                                                                                                Если посмотреть видео с главной страницы youtu.be/QY2yCRnWx-A, то я бы его больше проинтерпретировал так: «AppSee помогает вам отследить поведение пользователей, и найти слабые места в интерфейсе вашего приложения. В том числе вы можете отслеживать краши». Просто я не понимаю, как может взлететь сервис, который занимается крашами — потому что тут ничего инновационного нету, с багами все бороться давно умеют, а вот анализ интерфейса — это другое дело, такого мир мобильных приложений, по-моему, еще не видел. Я веду к тому, что основная цель AppSee все таки нахождение слабых мест в интерфейсе, а не помощь в дебаггинге.
                                                                                                                                                                        0

                                                                                                                                                                        Например, как это сделано в камерах видеонаблюдения. Существует буфер предзаписи, и если что-то случается, то видео пишется на диск. Так и тут модно что-то подобное реализовать и отсылать видео непосредственно с крашем приложения.


                                                                                                                                                                        А вообще, ИМХО, слать в прямом эфире видео и ни слова про это видео не говорить это не есть хорошо. Если надо постоянно следить за приложением, то как уже выше говорили, нанимайте тестеров и давайте им отдельное приложение, а не тратьте трафик пользователей, которые на это не соглашались.

                                                                                                                                                                          –4
                                                                                                                                                                          пользователей, которые на это не соглашались
                                                                                                                                                                          Ну вообще-то соглашались, подтверждая при регистрации прочтение и полное согласие с terms of use, где всё это упоминается.
                                                                                                                                                                            +16
                                                                                                                                                                            Да пошли вы нахрен со своими terms of use и privacy policy, это уже реально смешно, хватит защищать подобные вещи! Вы сами-то внимательно читаете все до одного terms of use приложений и сервисов, которые используете? А если в terms of use будет написано «Нажимая Продолжить вы соглашаетесь пожертвовать своё правое яичко обществу борьбы с социальным неравенством» — вы тоже будете радостно хавать это и говорить «Ну что же, это ведь для борьбы с социальным неравенством, да и в terms of use прописано!»?
                                                                                                                                                                            Любой подлости или злодеянию можно найти оправдание. Всякие там метрики и поиск багов меня как пользователя не интересуют, а вот слежение, даже оговоренное в terms of use, не очень. Цитата из «Незнайки на луне» хорошо подходит: «Какая мне разница, как меня обворуют, по закону или не по закону?»
                                                                                                                                                                              0
                                                                                                                                                                              Не забывайте также, что за вами следят:
                                                                                                                                                                              — десятки видеокамер стационарного видеонаблюдения
                                                                                                                                                                              — сотни видеорегистраторов
                                                                                                                                                                              — Крупные магазины (тем боле те, в которых используете дисконтную карту)
                                                                                                                                                                              — Браузеры/поисковые системы/провайдеры
                                                                                                                                                                              — мобильные операторы
                                                                                                                                                                              — утка (в случае, если у вас анатидаефобия)
                                                                                                                                                                              — госстуктуры (ГИБДД, таможя, налоговая, военкоматы)
                                                                                                                                                                                +4
                                                                                                                                                                                И что? Поймите одну вещь, даже если что-то происходит, происходит постоянно, происходит неизбежно и происходит по закону — это не говорит о том, что это норма. Избитый пример, но всё же упомяну — евреев в Третьем рейхе тоже по закону сжигали.
                                                                                                                                                                                  0

                                                                                                                                                                                  Избитый. Очень. Я понимаю, что любая дискуссия сводится в конце концов к Гитлеру, но все же не нужно приравнивать написанное выше к Холокосту. Различайте понятия слежки за поведением абстрактного пользователя и слежки за каждым конкретным человеком.
                                                                                                                                                                                  И да, тогда уже и избитая мысль с моей стороны — если вам не нравится закон — это повод попробовать изменить закон. А не устраивать луддизм.

                                                                                                                                                                                    +1

                                                                                                                                                                                    Слежка за поведением абстрактного пользователя — это так же отвратительно. От того, что там прописано в законе, это не становится хорошим действием. В законах пока не пишут, что исполнять их нужно с энтузиазмом или что с законом нужно внутренне соглашаться. Почему лично вам слежка нравится и вы её защищаете, не ясно. Дело ваше, но другим она нравиться не обязана.

                                                                                                                                                                                      0
                                                                                                                                                                                      Не защищаю, а пытаюсь объяснить, зачем это делается и где это происходит. Судя по ажиотажу значительная часть присутствующих в треде имеют очень смутное представление об аналитике вообще и ее методах в частности.
                                                                                                                                                                                      И позвольте мне самому решать, что мое дело, а что нет.
                                                                                                                                                                                        +1

                                                                                                                                                                                        Конечно позволяю. Так и написал, ваше отношение к слежке — дело ваше, вам решать. Люди, даже если и не очень технически подкованы, просто хотят, что бы за ними меньше следили. Хоть по закону, хоть без. Вполне понятное желание.

                                                                                                                                                                                          0
                                                                                                                                                                                          Хотят. И оставляют терабайты информации в соцсетях :)
                                                                                                                                                                                          Люди — странные животные
                                                                                                                                                                                            +3

                                                                                                                                                                                            Ничего странного. Оставляют по собственному желанию. А скрытый сбор — он скрытый. Вполне логично и естественно иметь возможность рассказать о себе то, что хочешь (в т.ч. и в соцсетях), но при этом что бы скрыто ничего не собиралось.

                                                                                                                                                                                –4
                                                                                                                                                                                Вы сами-то внимательно читаете все до одного terms of use приложений и сервисов, которые используете?
                                                                                                                                                                                Честно говоря, нет. Но и возмущаться не буду, если вдруг окажется, что из-за своей же лени я упустил что-то важное в этих самых terms of use.
                                                                                                                                                                                А если в terms of use будет написано «Нажимая Продолжить вы соглашаетесь пожертвовать своё правое яичко обществу борьбы с социальным неравенством»
                                                                                                                                                                                То этот пункт будет противоречить действующему законодательству и поэтому будет признан недействительным.
                                                                                                                                                                                а вот слежение, даже оговоренное в terms of use
                                                                                                                                                                                Тут в комментариях многие уже писали про нарушение приватности и слежку, но никто так и не смог ответить на простой вопрос: в чём заключается-то это самое нарушение приватности пользователя и слежка за ним в целом, ведь приложение снимает свой же собственный экран, записи других приложений не ведёт, равно как попыток записать пользователя через фронтальную камеру. Или для вас слежка — любая фиксация приложением действий пользователя в нём? В таком случае непонятно, почему же текстовое логирование каждого действия пользователя в приложении не вызывает подобного ажиотажа.
                                                                                                                                                                                  0
                                                                                                                                                                                  Что значит «противоречить действующему законодательству»? Где-то в законодательстве прописан запрет на пожертвование яичек? Ладно, это шутейки всё и приписано только для демонстрации абсурдности ситуации, но в действительности в Terms of use может быть прописано и что-то не противоречащее законодательству, но для вас крайне неприятное, уж поверьте, фантазии юристов нет предела.
                                                                                                                                                                                  А кто сказал, что текстовое логирование каждого действия пользователя в приложении не вызывает ажиотажа? Если приложение без моего ведома что-то пишет и что-то куда-то шлёт — я буду возмущаться точно так же. Я совершенно не против багрепортов и отлично понимаю их полезность, но как-то привык к тому, чтобы приложение спрашивало меня перед тем, как их куда-то отправлять.
                                                                                                                                                                                    –2
                                                                                                                                                                                    Если приложение без моего ведома что-то пишет и что-то куда-то шлёт — я буду возмущаться точно так же
                                                                                                                                                                                    С таким подходом вам не стоит пользоваться никакими мобильными приложениями, да и смартфонами тоже. И десктопными ОС также. Ведь все они что-то постоянно логируют и отсылают без вашего ведома.
                                                                                                                                                                                      0
                                                                                                                                                                                      с таким подходом ни стоит пользоваться телефоном как и любым другим средством связи. все же пишется и по закону.
                                                                                                                                                                                        0
                                                                                                                                                                                        Дебиан ничего не отсылает.
                                                                                                                                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                                                                      0
                                                                                                                                                                                      > То этот пункт будет противоречить действующему законодательству и поэтому будет признан недействительным.

                                                                                                                                                                                      ну хорошо, пусть там будет пункт о пожизненной неотзываемой ежемесячной плате в размере 100 долларов. Если вам не нравится — не устанавливайте приложение, а раз установили — надо платить.
                                                                                                                                                                                    0
                                                                                                                                                                                    burgerking.ru/legal_for_app
                                                                                                                                                                                    Хрентатам. Тут нет такого. Если, конечно, это не написано в п.8.1 (может быть это «иные технические данные, необходимые для улучшения функционала и работоспособности Приложения»), но я не смог расшифровать его.
                                                                                                                                                                                    П.2.5 фееричен. Особенно в последнем предложении. Ну и специально для TS'а добавлен раздел 4, который он нарушил почти по всем пунктам.
                                                                                                                                                                                      0
                                                                                                                                                                                      Именно 8.1 я и имел в виду, да.