Привет! Мы компания e-Legion — разработчик мобильного приложения Burger King. Пишем этот пост, чтобы успокоить всех, кто волнуется за данные своих банковских карт, и объясняем, как и зачем собираются данные с экранов пользователей.
Действующие лица:
Burger King — владелец приложения, который для работы выбрал систему аналитики AppSee.
e-Legion — разработчик приложения, который получил от Burger King ключи от SDK AppSee и интегрировал его в приложение.
Appsee — аналитический сервис, который собирает статистические данные, передаёт и хранит их в безопасном виде, но тем не менее оказывается под подозрением.
fennikami — как он сообщил о себе: 18 лет, вероятно бородат, в свободное время ковыряет разные приложения
Возмущенные пользователи — 3 млн. человек, негодующие, что данные их банковских карт могут попасть в руки к злоумышленникам.
ПРОЛОГ
11 июня появился на Pikabu, а 12 июня был продублирован на Хабре пост, в котором пользователь fennikami изучает данные трафика мобильного приложения Burger King и делает вывод, что за ним следят: записывают видео с экрана, когда он вводит данные своей банковской карты, а потом передают эту информацию третьим лицам.
Эта информация возмутила пользователей приложения и взбудоражила СМИ. Десятки публикаций с заголовками о краже личных данных и сотни писем в адрес Burger King с просьбой прокомментировать написанное в посте.
АКТ I. Где Appsee записывает экран пользователя и передаёт запись в Burger King
Все приложения тестируются во время разработки и если в них находят баги, то тестировщики пишут багрепорты для разработчиков. Все эти ошибки разработчики исправляют и тестировщики вновь проверяют приложение на предмет возникновения этих ошибок.
Некоторые ошибки могут быть не замечены на этапе тестирования, а некоторые нельзя предусмотреть, и ошибки возникают уже у пользователей, например приложение крашится. Тогда на помощь приходит система аналитики. Ведь пользователи не будут писать нам багрепорты, а благодаря системе аналитики Burger King увидит ошибки, и мы сможем их исправить, чтобы ваше приложение работало стабильно.
В мобильном приложении Burger King используется один из самых известных сервисов сбора и анализа статистики Appsee. Статистика собирается исключительно с целью анализа качества работы приложения, выявления и устранения возможных ошибок, аварийных ситуаций и подобного. Как и в любой статистике, здесь важны массовые показатели. Какие-либо частные конфиденциальные пользовательские данные, в этом плане, не представляют интереса и не собираются.
Одна из важных возможностей статистики Appsee — запись видео с экрана при работе приложения. Это позволяет на существенно более качественном уровне обеспечивать техническую поддержку приложения, обнаруживать и устранять различные недостатки.
Обеспокоенность пользователей сбором статистики и особенно записью видео понятна. Давайте посмотрим, как это происходит и какие данные в итоге попадают в систему аналитики.
- Запись и передача видео производится примерно у 10% пользователей, которые выбираются случайно.
- Запись и передача видео происходит исключительно при наличии Wi-Fi-соединения и никогда не производится через мобильные сети. www.appsee.com/tutorials/recording-settings
- Запись видео ведётся с крайне низким качеством для обеспечения малой нагрузки на ресурсы устройства и каналы передачи данных.
- При записи видео автоматически скрываются все поля ввода данных, паролей и изображения с камеры. В аналитике они видны как черные прямоугольники.
Скриншот из панели управления Appsee. Поля ввода закрыты чёрными прямоугольниками.
АКТ II. Где мы видим, как скрываются данные и разбираем скриншоты с Pikabu
Appsee, как весьма крупная компания на рынке, строго придерживается всех существующих законов о работе с персональными и прочими данными пользователей. В частности европейских требований GDPR, которые во много даже строже российских.
SDK Appsee автоматически распознаёт и скрывает все поля ввода данных, паролей и изображения с камеры. Это видно на скрине самого же fennikami — автора поста на Pikabu. Две строки, которые говорят о том, что все поля скрываются на самом клиенте при записи видео:
Скриншот fennikami из поста на Pikabu
Скрытие данных автоматически прописано в коде приложения. А SDK Appsee работает таким образом, что скрытие полей с личными данными происходит до того, как записи покинут мобильное устройство. Давайте в этом убедимся.
Акт III. Где сравниваем записи на телефоне и в системе аналитики
Видео ещё в телефоне
Спасибо за видео norver, который проверил какие данные действительно отправляются на сервера Appsee в своём посте
Видео пришло в Appsee
Видео записано из панели управления Appsee
Акт IV. Где подводим итоги и награждаем Fennikami за любознательность
Ваши данные в безопасности потому, что:
- Скрытие личных данных при записи видео для аналитики прописано в коде приложения. Данные скрываются до того, как покинут мобильное устройство.
- Burger King, e-Legion и Appsee не имеют доступа к банковским данным пользователей. Эти данные не записываются, не хранятся и не передаются третьим лицам.
- Burger King получает только имя, email и телефон пользователя в соответствии с Пользовательским соглашением: burgerking.ru/legal_for_app
- Запись видео с экранов помогает собрать статистику с целью улучшения работы приложения.
- Appsee строго придерживается всех существующих законов о работе с персональными данными пользователей. Это прописано в их политике: www.appsee.com/legal/privacypolicy
- Передача данных в сервис аналитики Appsee происходит только по Wi-Fi и не расходует мобильный трафик
Автору статьи под ником fennikami хотим выразить респект за любознательность к данным запросов/ответов. Всё же не стоит бить тревогу до того, как изучишь все возможности библиотеки или SDK.
Этому мы научим — дарим тебе бесплатное обучение в Академии e-Legion. Выбери специальность и пиши на sv@e-legion.com, чтобы получить доступ к учебной программе.
Автор: iSasha