Nachdem die Kollegen von TechCrunch zusammen mit TheAppAnalyst herausfanden, dass einige iOS-Apps einen exzessiven Analytics-Dienst namens Glassbox benutzen, der auch Screenrecording ermöglicht, geht Apple nun in die Offensive und reagiert auf den Vorfall. Man propagiert ständig, dass die Privatsphäre der Nutzer das höchste Gut sei, es war also zu erwarten, dass hierzu ein Statement kommt.
“Protecting user privacy is paramount in the Apple ecosystem. Our App Store Review Guidelines require that apps request explicit user consent and provide a clear visual indication when recording, logging, or otherwise making a record of user activity.”
…
“We have notified the developers that are in violation of these strict privacy terms and guidelines, and will take immediate action if necessary,”
Der Konzern hat die Entwickler der Apps, die diesen Code benutzen und nicht explizit in den Nutzungsrichtlinien darüber informieren angeschrieben und eine Frist von einem Tag gestellt. Innerhalb dieses Zeitfensters haben die Unternehmen Zeit, entweder die Richtlinien dementsprechend anzupassen und dort über die Nutzung aufzuklären, die App anzupassen (ein roter Balken am oberen Rand muss über die Bildschirmaufnahme informieren) oder den Code komplett zu entfernen. Sollte das nicht passieren, werden die betroffenen Apps aus dem App Store genommen.
“Your app uses analytics software to collect and send user or device data to a third party without the user’s consent. Apps must request explicit user consent and provide a clear visual indication when recording, logging, or otherwise making a record of user activity,”
Der Glassbox-Dienst kann übrigens auch in Android-Apps genutzt werden, es ist also nicht ausgeschlossen, dass dort auch schwarze Schafe unterwegs sind. Google hat sich bei TechCrunch aber noch nicht dazu geäußert. Gegenüber MacRumors gab Glassbox übrigens ein Statement zu dem Vorfall. Zusammenfassend kann man sagen, dass das Unternehmen das alles gar nicht so schlimm findet und man die höchsten Sicherheitsstandards erfülle. Kann man schon so machen, aber dann muss der Nutzer wenigstens wissen, dass da Daten aufgenommen und weggeschickt werden.
„TechCrunch’s piece raised valid concerns. Yet we believe it is partial and doesn’t adequately convey the many benefits for our customers and their users; or reflect the security and privacy capabilities inherent in Glassbox.
Glassbox and its customers are not interested in „spying“ on consumers. Our goals are to improve online customer experiences and to protect consumers from a compliance perspective. Since its inception, Glassbox has helped organizations improve millions of customer experiences by providing tools that record and analyze user activity on web sites and apps. This information helps companies better understand how consumers are using their services, and where and why they are struggling.
We are strong supporters of user privacy and security. Glassbox provides its customers with the tools to mask every element of personal data. We firmly believe that our customers should have clear policies in place so that consumers are aware that their data is being recorded — just as contact centers inform users that their calls are being recorded.
Furthermore: No data collected by Glassbox customers is shared with third parties, nor enriched through other external sources.
Glassbox meets the highest security and data privacy standards and regulations (e.g. SOC2, GDPR), and all data captured via our solution is highly secured and encrypted.We provide our customers with the ability to mask every piece of data entered by a consumer, restrict access to authorized users, and maintain a full audit log of every user accessing the system.
We don’t simply record data and provide customers with session replay. Brands come to us because Glassbox means source-proof, tamper-proof, encrypted records of digital activity. These characteristics make Glassbox invaluable, not to ’spy‘ on customers, but to (a) aid in creating the best and easiest digital journey, and (b) protect both brands and customers with evidential truth that allows for safe and compliant digital experiences.“