多支iPhone App遭爆側錄手機螢幕 用戶資料「裸奔」

科技媒體TechCrunch近日與The App Analytics合作，調查了一系列的app，發現不少都在沒有告知用戶的狀況下，紀錄用戶手機使用畫面。

手機app紀錄用戶的每一次點擊與操作已經是基本，而這次調查的目標更針對 app 服務提供商客戶分析工具 Glassbox，因為使用Glassbox工具的app甚至有個功能，可以直接「重播」用戶使用自己app的螢幕畫面，藉此了解用戶使用過程有沒有碰到問題，或者研究用戶行為。

然而，根據報導，使用Glassbox服務的某些app螢幕畫面中需要填寫個人資料，比如加拿大航空雖然在傳送訂單畫面的時候會打上馬賽克，但是卻沒打好，造成使用者的信用卡號、護照資訊外露。而加拿大航空上週才剛爆發2萬筆用戶資料外洩的事件。

而且不僅員工可以看到「側錄用戶資料的螢幕畫面」，由於資料根本沒有加密，有心人都可攔截這些資訊。The App Analytics受委託測試Glassbox網站上的示範app，用中間人攻擊就能攔截加拿大航空app傳出的資料。

最後，這項計畫中測試的 app 全都沒有告知使用者，他們有側錄用戶手機畫面，並且傳送到 Glassbox 雲端或自己的伺服器，就算是落落長的用戶隱私協議裡都沒提到。

這篇報導中提到使用Glassbox螢幕側錄功能的app包括Abercrombie & Fitch 及其姐妹品牌Hollister、Hotels.com、Expedia、新加坡航空，以及加拿大航空。

在後續回應中，A&F提到使用者條款中「授權我們辨認出客戶數位體驗中的問題，協助獲得更好的體驗。」加拿大航空則稱搜集用戶手機使用資訊，是確保能支援並解決用戶問題，他們也無法獲取自家app以外的螢幕畫面。而根據Glassbox，他們的工具可以「重建」用戶使用手機的畫面。目前透過此工具並不需要向蘋果或使用者額外要求權限，Glassbox也沒要求使用該工具的公司必須告知用戶，因此一般人根本無從得知自己的手機使用畫面遭到紀錄。

而這只是冰山一角，除了Glassbox，市面上還有 Appsee、UXCam等有提供開發商錄製用戶手機螢幕畫面的數據分析工具。在資安措施不確實，加密水準參差不齊，使用者條款又沒揭露的狀況下，各家 app 使用螢幕錄製功能雖然能快速解決用戶問題，但卻讓信用卡、護照、地址，甚至銀行帳戶全都露。

《原文刊登於合作媒體INSIDE，聯合新聞網獲授權轉載。》