Apps para iOS podem estar gravando sua tela sem o seu conhecimento

Se você usa um iPhone ou um iPad, tome cuidado: alguns apps para iOS estão monitorando a tela do seu dispositivo a fim de enviar informações de uso para as suas desenvolvedoras. E o pior, eles não pedem permissão e tampouco informam você a respeito disso.

Segundo o site TechCrunch, apps populares de hotelaria, moda, companhias áreas e até bancos, entre outros, fazem isso. Uma das tecnologias usadas por eles é a Glassbox, que conta com um o recurso “session replay” (repetir sessão) que grava as sessões de uso e permite ao desenvolvedor rever ali tudo o que o usuário fez.

Com isso, essas companhias podem gravar a tela do aparelho e capturar toques, pressão, deslizar de dedos e até mesmo textos digitados no teclado do iOS. Essa tecnologia é capaz, inclusive, de capturar tela e enviar o conteúdo à desenvolvedora, que usaria tudo isso para saber o que funciona e o que não funciona dentro de seus apps.

Quem descobriu a existência desse espião dentro dos apps foi o blog The App Analyst, que há pouco tempo encontrou o Glassbox dentro do aplicativo da companhia aérea Air Canada. Como se a prática não fosse ruim o suficiente, a empresa não criptografa informações sensíveis das telas obtidas de seus clientes, o que pode ter contribuído para o vazamento de 20 mil perfis de usuários do app da empresa em agosto de 2018.

Informações

Em análise, o App Analyst descobriu que aplicativos como Air Canada, Hollister, Expedia, Hotels.com, Singapore Airlines e Abrecrombie & Fitch, monitoram a tela e enviam informações e nem todos ocultam dados sensíveis antes de transmitir a imagem.

Alguns dados foram ocultados antes de serem enviados, mas informações como endereço e email estavam visíveis em alguns deles. Contudo, é fato que nenhum dos aplicativos analisados pelo especialista citava o monitoramento em sua política de privacidade.

Empresas respondem
As únicas empresas que se manifestaram sobre o tema até agora foram a Abercrombie, Air Canada e a Glassbox.

A Abercrombie afirmou que o Glassbox “contribui para uma experiência de compra tranquila, nos permitindo identificar e direcionar qualquer problema que os consumidores possam encontrar em sua experiência digital”.

Já a Air Canada afirmou que “usa informações fornecidas pelos clientes para garantir a capacidade de oferecer suporte às suas necessidades e resolver qualquer problema que possa interferir na viagem”. A empresa confirmou que isso inclui dados coletados do aplicativo, mas garantiu que “não captura — nem é capaz de capturar — telas do telefone fora do app da Air Canada”.

A Glassbox afirmou que não força seus clientes a citarem a sua existência nas suas políticas de privacidade nem é capaz de obter dados e capturas de tela fora dos apps nos quais a sua tecnologia está presente.

Fonte: Tecmundo

Malware que captura dados dos toques na tela

touchFoi descoberto um jeito de invadir smartphones e tablets para observar os toques dados na tela e descobrir as senhas do usuário. O consultor de segurança Neal Hindocha, da Trustwase, construiu o conceito de um malware capaz de fazer isso e pretende apresentá-lo durante uma conferência sobre segurança em breve.

O software malicioso é capaz de monitorar coordenadas X e Y a cada toque ou deslizada de dedo, além de tirar capturas da tela. Assim, se o criminoso estiver acompanhando o aparelho e perceber que após um longo período de inatividade o usuário deu quatro toques, ele sabe que aquela é a senha de desbloqueio.

O interessante, disse Hindocha à Forbes, é que se combinar coordenadas com capturas de tela o criminoso consegue ter uma imagem clara dos números sendo digitados.

Segundo ele, não há dificuldades em se instalar o malware em aparelhos com iOS em jailbreak ou com Android em root. É possível passá-lo para um smartphone que rode o sistema do Google quando ele for plugado ao computador pelo cabo USB.

O foco de um ataque desse tipo dificilmente seria o usuário comum, pois o golpe demanda tempo e dedicação – seria contraproducente analisar coordenadas colhidas em massa. O método poderia ser usado contra alvos específicos.

Agradeço ao Davi e ao Lucas, amigos e colaboradores do seu micro seguro, pela referência a essa notícia.

Fonte: Olhar Digital