приложение бургер кинг записывает экран
Запись видео с вашего экрана не такая уж тайная. Версии Бургер Кинга и Appsee
Юзер fennikami переполошил сегодня рунет своим постом о приложении Burger King, которое якобы записывает все, что происходит на экране у юзера. Видеодоказательств, правда, он так и не предоставил.
Скриншот аналитики Appsee
Редакция Хабра связалась с Бургер Кингом и Appsee, чтобы они рассказали свою версию событий. Потому что несколько взглядов на вопрос всегда лучше, чем один. Бургер Кинг ответил объемным пресс-релизом и таки выдал запись видео Appsee с экрана. А Appsee ограничился коротким PDF, которым как бы говорит: ребята, наше дело маленькое, мы просто любим анализировать.
Что говорит Бургер Кинг
Если верить этому видео, поля не блюрят, а закрывают черными плашками
Говорят, что данные собирают только с 10% из 3 млн юзеров и не в сотовой сети — только когда смартфон подключен к Wi-Fi. Чтобы наверняка исключить себя из тех 300к юзеров, действия которых анализируют, в приложении есть кнопка «Служба поддержки», а дальше — форма обратной связи. Там нужно явно попросить выключить вас из выборки Appsee.
Написал им. Обещали обработать заявку «в рабочее время с 10 до 18, с понедельника по пятницу».
Заявлено, что все данные приходят на сервер без имени пользователя и личных данных. Appsee соблюдает правила GDPR, поэтому следит за этим тщательно.
Бургеркингу данные Appsee нужны для улучшения юзабилити приложения.
Даже данные, которые мы получаем (имя, телефон и имейл) нам нужны только для того, чтобы начислять нашим гостям бонусы за заказ.
При этом в пользовательском соглашении написано, что пользователь передает:
8.1. В соответствии с положением Федерального закона от 27.07.2006 №152 ФЗ «О персональных данных» Пользователь свободно, своей волей и в своем интересе предоставляет Компании свои персональные данные в следующем составе: имя, фамилия, дата рождения, номер телефона, адрес электронной почты, данные о модели мобильного устройства Пользователя (производитель, модель, версия операционной системы, идентификатор устройств и иные технические параметры и идентификаторы, включая IMEI), и иная информация, которую Пользователь может указать в своем обращении, не относящееся к специальным категориям и биометрическим персональным данным, и прочие сведения, сформированные в рамках процессов обработки персональных данных Компанией, в том числе: информация о предпочтениях и заказах Пользователя (даты, состав заказа и т.д.) список аккаунтов на устройстве Пользователя; данные о местонахождении устройства Пользователя; иные технические данные, необходимые для улучшения функционала и работоспособности Приложения. Пользователь дает согласие (а также третьими лицами для исполнения обязанностей Компании) на совершение следующих действий со своими персональными данными: сбор (получение), запись, систематизация, хранение, уточнение, извлечение, использование, передача (предоставление, доступ), блокирование, обезличивание, удаление и уничтожение, персональных данных, действия (операции) совершаемые с использованием средств автоматизации и оказание консультационных услуг по запросу физического лица, в том числе хранение сведений по запросу субъекта, проведение рекламных, маркетинговых и информационных компаний для клиентов, оформление и доставка заказа клиенту, хранение сведений о субъекте в соответствии с локальными актами Общества.
Про право на использование пользовательских данных написано в этом же пункте, кстати.
Что говорит Appsee
Appsee тоже выпустила официальный релиз, в котором говорит, что компания, которая пользуется их услугами, должна:
Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение
UPD: Пользователь Sabubu рассказал о том, что IT-директор компании Burger King начал публично угрожать автору расследования.
Вступление
Первое расследование о приложении Burger King создало резонанс в СМИ, а также оказалось в топе Пикабу, TJournal, и Хабрахабр.
Как выяснилось — людям небезразличен шпионаж за ними.
Расследование понравилось и хакерам. С момента публикации, на мой блог совершили десятки хакерских атак.
Примечание: все ссылки на официальные ответы и ресурсы Burger King — архивные, в целях предотвращения редактирования либо подмены своих постов администрацией Burger King после или во время написания данной статьи.
Для архивирования ссылок используется проверенный сервис archive.is.
Все оригинальные ссылки — в конце данной статьи.
Часть I. Ответы.
Компания Burger King молчала и нагло игнорировала вопросы своих клиентов в течении целого дня после публикации расследования, и ответила только после прямого обращения РосКомНадзора.
Какой ответ мы получили?
I.I. Официальный ответ Burger King ВКонтакте.
Ну что же, давайте разбирать по пунктам.
Во-первых — под «европейским законом о защите персональных данных» подразумевается GDPR. Он действует только для Европейского Союза, и Россия де-факто не имеет к нему никакого отношения.
Российский Burger King ему не подчиняется.
Burger King обязан следовать Федеральному закону «О персональных данных», но он ему не следует.
Во-вторых — «мы не делаем запись».
В моём оригинальном расследовании чётко видно, что приложение Burger King не просто записывает экран, а делает это постоянно.
В том числе — во время ввода реквизитов банковских карт.
В-третьих — «получаем обезличенную аналитику по работе приложения».
О какой обезличенности идёт речь, если Burger King получает номер телефона, имя, и почтовый адрес клиента (компания-разработчик приложения Burger King сама об этом говорит) при регистрации и использовании приложения?
Также, Burger King хранит детальные данные о каждом пользователе, что подтвержает директор по digital-проектам Burger King Сергей Очеретин.
Сергей Очеретин. Директор по digital-проектам Burger King.
Фотография из открытых источников.
Сергей открыто заявил, что «проверил мои аккаунты» (после недвусмысленного намёка на то, что знает мое местоположение; на момент написания статьи комментарий удален) и что у Burger King есть «логи» (запись действий) каждого пользователя.
Скриншот с форума 4PDA.
В-четвёртых: «или об этом уже нельзя говорить?»
Burger King ни разу не отвечал на вопросы о слежке до этого комментария.
Они наглейшим образом игнорировали вопросы своих клиентов и начали отвечать только после прямого обращения РосКомНадзора. (о чем я написал выше).
Здесь Burger King делает вид, что они якобы уже об этом говорили, но на самом деле — не было ни одного ответа.
Ответ на обращение РосКомНадзора — их первый за все время, и они сразу же пытаются манипулировать мнением говоря «или об этом уже нельзя говорить?».
Запись экрана — доказана.
Благодаря вышеперечисленным аргументам можно сделать вывод, что Burger King снова лжёт.
I.II. «Опровержение»
Вскоре, после того как Burger King ответил ВКонтакте — опровержение выпустила и компания-разработчик приложения Burger King.
Они говорят, что (далее цитата):
Давайте пройдемся по каждому из пунктов.
Пункт первый — «скрытие личных данных при записи видео для аналитики прописано в коде приложения, данные скрываются до того, как покинут мобильное устройство».
Скрытие личных данных не прописано в коде приложения.
Скрытие личных данных при записи видео — это параметр, который приложение запрашивает каждый раз у удаленного сервера, и только после получения ответа («да» или «нет») оно устанавливает значение параметра в «скрывать личные данные» или «не скрывать личные данные».
Данный параметр контролируется удаленно и поменять его Burger King может в любой момент. Проще говоря: хочет — не скрывает, хочет — скрывает.
Комментарий пользователя на Habr.com
Таким образом, мы делаем вывод, что утверждение «данные скрываются» — это очередная наглая ложь со стороны Burger King и их команды разработчиков.
Пункт второй — «Burger King, e-Legion и Appsee не имеют доступа к банковским данным пользователей. Эти данные не записываются, не хранятся и не передаются третьим лицам».
Как мы выяснили в разборе первого пункта — данные не скрываются и не шифруются. Они передаются на удаленный сервер в открытом виде, и там хранятся.
Доступ к этим данным имеют все, кто связаны с приложением, а также с метрикой AppSee.
Заявление о том, что Burger King, e-Legion (разработчик приложения), и AppSee «не имеют доступа к банковским данным пользователей» — это очередная наглая ложь.
Пункт третий — «Burger King получает только имя, email и телефон пользователя в соответствии с Пользовательским соглашением».
Как мы выяснили в первых двух пунктах — Burger King имеет доступ к записям экранов пользователей и их платежным данным, поэтому данное заявление — лживое и призвано ввести клиента в заблуждение.
Однако, Burger King действительно имеет доступ к именам, E-Mail, и телефонам клиентов, однако не «только», а «вместе» с записями экранов, банковских карт, и полной сводки действий каждого пользователя.
Также, в Пользовательском Соглашении
Заявление о том, что «Burger King получает только имя, email и телефон пользователя» — наглая ложь.
Пункт четвёртый — «Запись видео с экранов помогает собрать статистику с целью улучшения работы приложения».
Здесь мы приходим к официальному подтверждению записи экрана без размытых формулировок.
Однако, ведь в своём официальном заявлении Burger King говорил, что они не записывают экран! Как же так?
Судя по многочисленным жалобам и отзывам на приложение — оно очень медленное и плохо работает.
Никакого «улучшения работы приложения» нет.
Пункт пятый — «Appsee строго придерживается всех существующих законов о работе с персональными данными пользователей».
AppSee — сервис аналитики, и Burger King постоянно заявляет что сервис «следует GDPR», однако — как мы уже высянили, для России соблюдение GDPR ничего не значит. А вот Федеральному закону «О персональных данных» он не подчиняется.
Значит — опять ложь. Ведь главному закону о персональных данных — AppSee не подчиняется.
Пункт шестой — «передача данных в сервис аналитики Appsee происходит только по Wi-Fi и не расходует мобильный трафик».
Тестирование показало, что передача видео происходит и по Wi-Fi, и по сотовой сети.
Более того, собственное видео команды e-Legion (разработчик приложения Burger King) из их поста доказывает, что загрузка происходит и по сотовой сети.
Скриншот из видео выше, «Cellular» — сотовые данные.
Из этого делаем вывод — очередная наглая ложь.
Часть II. Доказательство записи и передачи банковских данных.
Вступление
Самой главной претензией ко мне было то, что я показал только скриншот из перехваченного мною видео, а само видео — не показал.
Этим мгновенно воспользовался Burger King и в отдельности Сергей, чтобы обвинить меня якобы во лжи.
Это же подхватили и все остальные, начав беспочвенно обвинять меня в «набросе», аргументируя это тем, что я не показал видео. Доходило до прямых оскорблений и угроз.
Почему же я не показал сначала видео?
Все просто — я тоже человек 🙂
Во-первых — я не сохранил видео с банковскими картами (я его смотрел из программы-инспектора трафика, и не сохранил), а скриншот показал из другой записи, которую загружать смысла не было.
Во-вторых — сделав оригинальный пост-расследование ночью, я не пошел спать. Я забыл про сон и стал отвечать каждому в комментариях. Чуть позже — журналисты обнаружили моё расследование, поднялся резонанс, и я сидел отвечал не только на комментарии, а и на письма и сообщения журналистов.
Просидел я так очень долго, и сидел бы дальше.
Но увы, у меня нет кнопки «отключить сон и отвечать всем», поэтому я пошел спать.
Проснувшись от кучи уведомлений на своём телефоне, я в полусне увидел что от меня хотят видео.
Причем не просто хотят, а хотят с оскорблениями, с угрозами, с хамством.
Я думаю, что моя реакция на подобные требования ночью была очевидна — послав всех оскорбляющих меня хамов я лег спать дальше.
А люди, поливающие меня помоями, видимо считали, что я обязан по первому щелчку пальцев бежать что-то делать. Нет уж.
В какой-то момент я решил вообще всё послать и ничего не делать (оскорбления не добавляют желания что-то делать). Но, решил все-таки доказать, что я был прав.
Когда проснулся — вспомнил что нужно сделать видео. Сделал. 🙂
Часть II.I. Видеозапись, сделанная приложением
Данное видео было перехвачено мной из копии трафика приложения Burger King для iOS (версия 2.2.0 — последняя).
Видео никоим образом не модифицировалось, трафик и код приложения не менялись.
Как Вы можете видеть, детали банковской карты — не скрываются.
Не скрываются и поля ввода телефона, E-Mail, имени, и клавиатура.
Также, в начале видео я убрал подтверждение согласия с правилами использования, но запись видео не прекратилась и оно все равно отправилось на сервер.
Часть II.II. Техническая информация
По параметрам (разрешение, FPS, битрейт) — моё видео полностью совпадает с видео, на которое ссылается команда-разработчик приложения Burger King в своем посте, заявляя что поля ввода данных «закрашиваются».
Часть II.III. Почему моё видео — настоящее.
Хочу отметить очень важное доказательство того, что моё видео — действительно из приложения: на нём не видно статус-бара (строки с уровнем сотового сигнала, времени, заряда батареи), вместо него — пустое место.
Слева — моя запись, справа — официальный скриншот приложения
Такое видео может записать только само приложение.
На iPhone (а именно на нём я и запускал приложение) — невозможно скрыть статус-бар при использовании средств ОС для записи дисплея (а других — не существует).
На моем iPhone нет jailbreak (взлома ОС) и стоит последняя версия iOS, поэтому у меня нет возможности скрыть статус-бар или использовать сторонее приложение для записи экрана.
Поэтому единственный вариант получить такую запись — это чтобы приложение само себя записало, так как на iOS оно не может записать системные элементы кроме клавиатуры.
Также сравните пустые статус-бары на записях предоставленных Burger King, и на моем видео. Они совпадают, их нет.
Часть III. Заключение.
Часть III.I. Итоги
Каждый пункт «опровержения» Burger King — разбит мною в пух и прах.
Здесь же — доказательства прямой лжи Burger King.
Часть III.II. Проверка РосКомНадзором
Я (и многие люди) хотели бы, чтобы РосКомНадзор проверил Burger King насчет их небезопасного и пофигистичного обращения с персональными данными и банковскими картами клиентов.
И чтобы это ограничилось не постом в ВК с мемасиками, а серьезной проверкой.
Часть III.III. А зачем мои карты Бургер Кингу?
— «Зачем Burger King воровать данные платежных карт? Они и так богатые, а кражей карт — испортят себе репутацию.» (цитата реального вопроса на форуме)
Дело в том, что приложение Burger King делает не директор сети собственноручно. Поверьте, он не сидит на кожанном кресле за компьютером, прикуривая кубинские сигары пачкой баксов и набирая код приложения, чтобы украсть деньги у россиян.
Приложение Burger King делает нанятая ими компания e-Legion, а к записям экрана имеют доступ все (я не верю заявлениям e-Legion о том, что доступ есть только у сотрудников Burger King после прямой лжи, которую я доказал): и e-Legion, и Burger King, и все в промежутке.
Там может быть и студент, работающий за дошираки, и захотевший легкой наживы.
А может быть и злоумышленник, который прямо сейчас поймал Вашу карту и уже купил себе новенький айфон.
Вы никогда не узнаете, ведь если такое произойдет — то Burger King как обычно нагло Вам наврёт и скажет что все «окей, и вообще — «вы окурели».
И репутацию там портить ниже некуда.
Часть III.IV. Сотрудники, которых нельзя пускать к людям.
Наглая ложь, угрозы, хамство, оскорбления. Это только начало.
Хотя чего ожидать от компании с такой рекламой:
И такими сотрудниками:
Ссылки в статье — это архивные копии ссылок ниже, сделанные в целях предотвращения изменения или удаления постов/сообщений Бургер Кингом.
Я не рекомендую читать ответы Бургер Кинга по ссылкам ниже, так как их могли изменить после публикации моей статьи.
«Бургер Кинг» и запись экранов: почему компания отрицает сбор персональных данных и как отказаться от «слежки» Статьи редакции
Компания подтвердила, что записывает действия клиентов, но заявила, что не собирает данные банковских карт.
11 июля пользователь «Пикабу» под ником fennikami рассказал, что мобильное приложение «Бургер Кинга» записывает видео с экранов смартфонов втайне от пользователей. По словам автора, сервис не прекращал этот делать даже при вводе данных банковской карты для оплаты заказа.
Он также опубликовал свой анализ на TJ и «Хабрахабре», рассказав, что доступ к данным имеют партнёры сети вроде компании мобильной аналитики AppSee. История стала настолько резонансной, что к «Бургер Кингу» публично обратился «Роскомнадзор».
В разговоре с TJ представители «Бургер Кинга» подтвердили, что записывают действия клиентов с помощью AppSee. Однако компания заявила, что не собирает сведения банковских карт и другие персональные данные.
Приложение «Бургер Кинга» позволяет получать скидки в ресторанах сети быстрого питания, делать удалённый заказ и находить ближайшие рестораны. Для регистрации в нём нужно ввести номер телефона, а при оплате онлайн — ввести данные банковской карты.
Пользователь «Пикабу» проанализировал приложение и выяснил, что при запуске оно начинает записывать «бесконечное» видео с экрана смартфона и отсылать записи на сервер. По его словам, запись продолжается, даже если приложение свёрнуто. Разработчик отметил, что запись отправляется на сервера платформы AppSee, партнёры которой также имеют доступ к полученным данным.
Компании используют аналитическую платформу AppSee для анализа поведения пользователей. Разработчики подключают своё приложение к сервису, чтобы выявлять технические проблемы и улучшать опыт работы с клиентом.
AppSee упоминалась в исследовании Северо-Восточного университета в США, авторы которого выяснили: приложения могут следить за действиями владельцев смартфонов и пересылать персональные данные на домен этого сервиса. Исследователи отметили, что пользователи могли даже не подозревать об этом, поскольку в политике конфиденциальности отдельно взятого приложения такого не говорилось. В том случае AppSee переложила ответственность на авторов приложения, которые в итоге дополнили свой документ после обращения учёных.
«Бургер Кинг» утверждает, что получает от клиента его имя, номер телефона и адрес электронной почты. По версии компании, эти сведения нужны в основном для начисления бонусов за заказ и не продаются третьим лицам.
Представители «Бургер Кинга» в разговоре с TJ назвали «недостоверной» информацию о том, что их приложение собирает персональные данные подписчиков, в том числе данные банковских карт. Эквайринг в лице «Яндекс.Кассы» также не передаёт эту информацию, отметили в сети быстрого питания.
Вместе с тем в «Бургер Кинге» подтвердили, что приложение подключено к платформе AppSee и записывает с её помощью действия пользователей. Представители компании назвали сервис «технической надстройкой», которая позволяет определять, «какой блок приложения следует улучшать». В сети пояснили, что ни их разработчики, ни специалисты AppSee не видят персональных данных клиентов.
Все данные приходят на сервер в обезличенном виде — то есть не видно имени пользователя и его личных данных. AppSee работает под европейским законом о защите персональных данных, поэтому любой сбор таких данных обернулся бы для них огромными штрафами со стороны большого количества государств. [. ]
Записи номера банковской карты нет. Данные, которые мы и AppSee видим – обезличены и закодированы.
Разбираемся, что записывает, а что не записывает приложение Burger King
С помощью небольшой инструкции размещенной в комментарии вы можете самостоятельно получить видео, которое отправляет Appsee. И убедиться какие данные ретушируются, а какие нет.
Моему анализу подверглось Android приложение версии 2.2.2 с датой обновления 9 июля 2018г. Результаты на других платформах и в других версиях приложения могут отличаться от приведенных в этой статье.
Инициализация Appsee
Appsee это одна из систем аналитики применяемая для улучшения опыта взаимодействия пользователя с клиентским приложением. Она записывает экран и ваши действия, когда вы находитесь в приложении. В общем-то в этом ничего страшного нет, в Web повсеместно распространена технология Вебвизор от Яндекса, которая имеет тоже самое назначение.
На начальном этапе своей работы Appsee запрашивает конфигурацию для конкретного приложения с сервера, именно этот запрос поймал автор в оригинальной статье, в моем же случае ответ выглядел примерно так:
Можно заметить, что параметры HideInput, HideSensitiveViews имеют значение true, скрывая тем самым важную информацию в видео. Сразу возникает вопрос как определяется важность информации, для ответа обратимся к документации Appsee. Если коротко, то по умолчанию скрытию подвергаются все поля для ввода данных, дополнительно можно настроить скрытие для других полей или частей интерфейса.
Так же обратим внимание с каким качеством ведется запись видео, в моем случае это было видео с разрешением 320 на 160 пикселей, с частотой три кадра в секунду.
Реальные данные собираемые Appsee
Я решил проверить какие данные действительно отправляются на сервера Appsee, для этого я использовал Proxy из Burp Suite. Сначала система аналитики передает файл с действиями пользователя внутри приложения, там в том числе есть координаты нажатий пользователя, нажатия на клавиатуре не фиксируются.
Видео передаваемое на сервера Appsee, как и следовало ожидать большинство данных скрыты
Смотрим, что происходит дальше
«Мобильное приложение Burger King с удаленным заказом не собирает персональных данных своих подписчиков. Все транзакции надежно защищены одним из лучших эквайеров страны — Яндекс.Касса. Данные о поведении пользователей в приложении не содержат информации о банковских картах и не хранятся на сервере», — сообщает компания.
Звучит достаточно убедительно, а теперь смотрим реальный трафик. Для оплаты действительно используется процессинг от Яндекса, это можно определить по запросу с адресом
Полезной нагрузкой запроса является параметр request с некоторыми данными:
Те, кто хоть раз работали с JSON Web Token сразу заметили, что это он. С помощью онлайн-декодера получим исходные данные. В общем-то ничего удивительного онлайн-процессингу передается информация о карте, которая ему и предназначается
Изначально в следующем разделе содержалось неверное предположение о логировании всей информации о карте, после замечания staticlab в комментариях, раздел про логирование был изменен. Приношу свои извинения читателям, которых я ввел в заблуждение.
Логи всему голова
Казалось бы, что может пойти не так, карта должна надежно обрабатываться на Яндекс.Касса. Если бы разработчики приложения Burger King не решили добавить немного логирования со своей стороны. Тем самым все же, собирая некоторую информацию о картах, в частности 4 последние цифры карты, месяц и год окончания действия карты. Лог с информацией приведенной ниже отправляется по адресу:
Данные отправляются как при успешной, так и при неудачной попытке вызвать процессинг карты. Почти уверен, что логи сохраняются, иначе зачем их отправлять?