Glassbox: App-Analytics-Dienst mit Screen-Recordings wird in einigen iOS-Apps genutzt
So ziemlich jeder von euch hat ein Smartphone und nutzt auf diesem auch Apps. Die hinter diesen Apps stehenden Entwickler und Unternehmen haben fast immer ein Interesse daran zu erfahren, wie ihr diese benutzt, auf welche Fehler ihr stoßt und so weiter. Dafür muss man natürlich auch Daten sammeln, ohne geht halt nicht. Das sollte bzw. muss euch bekannt sein. In nahezu allen Fällen gibt es entsprechende Klauseln in den Datenschutzrichtlinien, dass Analyticstools eingesetzt werden.
Die Kollegen von TechCrunch sind nun aber auf einen Fund gestoßen, der dann doch etwas anrüchig ist. Apps wie Expedia, Air Canada, Hollister und Co. nutzen einen Dienst namens Glassbox, der nicht nur die üblichen Daten erfasst, sondern in der Lage ist, jeden Druck aufs Display, jeden Swipe, Tastatureingaben und Co. aufzunehmen und dem Entwickler bereitzustellen. Alles kein Problem, wenn der Nutzer darüber im Vorfeld informiert würde und basierend darauf entscheiden kann, ob er die App benutzt oder nicht. Ist aber leider nicht immer der Fall.
Nehmen wir das Beispiel Air Canada. Weder in den Nutzungsbedingungen noch in den Datenschutzrichtlinien wird etwas über Screenrecording erwähnt. Es findet sich lediglich der übliche allgemeine Absatz zu Analytics-Technologien:
Jedes Mal, wenn Sie aircanada.com aufrufen, werden ebenfalls einige Informationen automatisch erfasst (z. B. Cookies und Webbeacons). Wir und unsere Marketing-Partner, verbundenen Unternehmen, Analyse- oder Dienstanbieter verwenden Technologien wie Cookies, Webbeacons, Tags und Skripte, um Trends zu analysieren, die Website zu verwalten, das Nutzerverhalten auf der Website zu verfolgen und andere demografische Informationen über die Gesamtheit der Benutzer zu erfassen. Es kann sein, dass diese Unternehmen uns über die Verwendung dieser Technologien auf individueller oder aggregierter Basis Bericht erstatten.
Laut Glassbox selbst, muss man Screen Recording auch nicht separat erwähnen, da Glassbox als Dienst keinen Zugriff auf die Daten hat. Diese werden jedoch zum Teil in die Glassbox Cloud gesendet, ein gewisses „Geschmäckle“ hat die Sache also.
“Glassbox has a unique capability to reconstruct the mobile application view in a visual format, which is another view of analytics, Glassbox SDK can interact with our customers native app only and technically cannot break the boundary of the app,” … “Glassbox does not have access to it,”
Unter Nutzung von Glassbox ist der Entwickler auch in der Lage eure Eingaben in einem sogenannten Screen-Replay komplett nachzuvollziehen inklusive Kreditkarten-Daten und Co. Normalerweise werden sensible Daten in so einem Fall maskiert, wie TechCrunch herausfand ist auch das nicht immmer gegeben.
In einem Statement gegenüber den Kollegen äußerte sich Air Canada dahingehend, dass Daten nur innerhalb der Air Canada-App gesammelt werden und das für die Entwicklung notwendig sei.
“Air Canada uses customer provided information to ensure we can support their travel needs and to ensure we can resolve any issues that may affect their trips,” … ” This includes user information entered in, and collected on, the Air Canada mobile app. However, Air Canada does not—and cannot—capture phone screens outside of the Air Canada app.”
Am Ende bleibt ein mulmiges Gefühl. Man kann als Nutzer nichts weiter tun, als die Datenschutzrichtlinien und Nutzungsbedingungen der Apps wirklich zu lesen und darauf zu hoffen, dass das Unternehmen keinen Schabernack mit den Daten anstellt. Auch kann man nicht alle Betreiber über einen Kamm scheren, schwarze Schafe gibt es leider immer.
Nicht dass ich das gutheiße, aber wo ist der Unterschied zu dem, was Amazon im Browser macht? Die verfolgen und speichern absolut jede Interaktion des Users. Mit dem Clickstream von Amazon ist es auch möglich ein Screen-Replay zu machen, man sollte also davon ausgehen, dass jede größere Website oder App das tut.
https://www.youtube.com/watch?v=lbN6R6MubSI
Die ist es nicht nur auf die Seite/App beschränkt.
Du meinst, eine App die Glasbox benutzt kann Interaktionen nicht nur bei sich selbst, sondern auch bei anderen Apps aufzeichnen? Glaube ich eher nicht, eine App kann nur auf APIs und Daten in der eigenen Sandbox zugreifen.
Ah ja, die Kreditkartendaten sind also für Entwickler notwendig. Ne, is klar!
So einen geistigen Dünnpfiff habe ich schon lange nicht mehr gehört. Dabei kam in letzter Zeit ja einiges ans Tageslicht.
Und dann auch noch die selbstherrliche Aussage, das man Glassbox nicht explizit erwähnen muss.
Und keine Screenshots außerhalb der überwachten App? Und wenn dann die App im Splitscreen Modus läuft? Unfassbar!
Eine App hat bei Benutzung keinen Screenshot anzufertigen, egal für was auch immer. Einzig und allein der Benutzer darf in der Lage sein einen Screenshot anzufertigen. Basta!
Das Ganze ist kein Geschmäckle mehr und hinterlässt nicht nur ein mulmiges Gefühl. DAS ist Überwachung pur.
Firmen wie Glassbox sind ein Krebsgeschwür im Internet und gehören auf den Boden geworfen, damit sie dort zersplittern.
Da finde ich die unter Android eingeführte Übersicht und Kontrollmöglichkeit der App-Berechtigungen einen sehr guten Ansatz.
Damit hat man eine gute Übersicht und Kontrolle über die Apps.
Da man heute nicht mehr mitbekommt welche App wohin telefoniert, nutze ich die Windows 10 Firewall Controll https://www.sphinx-soft.com/de/Vista/index.html und schon wird für jeder Drittanbieter Software der Netzwerkzugriff erfragt (wie früher mit Zonealarm). Unter OSX habe ich nichts kostenloses gefunden was vergleibar wäre.
Nur Kurz als Tipp. LuLu ist ne gute OSX Firewall
Hast du das schon mal ausprobiert? https://objective-see.com/products/lulu.html
Da die Geschichte gerade international ziemlich Fahrt aufnimmt, wird Apple sehr wahrscheinlich irgendwelche Maßnahmen ergreifen, ansonsten wären Apples Privacy-Bemühungen, die Tim Cook regelmäßig propagiert, für die Tonne.
„[…]Of the apps listed above, Abercrombie & Fitch, Hollister and Singapore Airlines passed session replay data on to Glassbox, while Hotels.com and Expedia siloed data on their own domains.“
Also Glassbox zu blocken würde nicht einmal ausreichen.
Die Schutzmaßnahmen sind für die Tonne und nur Marketing, damit die dummen Kunden nochmehr Daten, z.B. Gesundheitsdaten mitteilen.
Sorry, Du erzählst dummes Zeug.
Wie so oft.
Ich wünsche allen Gründern, Mitarbeitern, Entwicklern, Fürsprecher und Inhaber von Analyse- und dazugehörigen Marketingfirmen einen ganz besonders warmen Platz in der Hölle. MfG.
Also hier werden ohne mein Wissen Screenshots auf fremde Server übertragen. Mit persönlichen Daten, KK Daten usw.
Unglaublich dass Apple dies zulässt. Bye bye Datenschutz. Da kann ich mir ja gleich eine Android-Wanze kaufen (sorry für die Polemik). Ich erwarte ein Statement von Apple und dass die betroffenen Apps aus dem Store gelöscht werden.
Technisch gesehen werden keine Screenshots übertragen. Die Touchscreen-Interaktion wird aufgezeichnet und den Firmen in Animationen oder Videos umgewandelt, so dass die Entwickler nachvollziehen können, was der Anwender in der App macht. Das macht die Sache natürlich nicht weniger schlimm, vor allem, wenn auf diese Weise persönliche Daten übertragen werden.
Screenshots werden übertragen, das ist keine simple Heatmap oder so. Siehe hier im ursprünglichen Bericht: http://theappanalyst.com/aircanada.html
Devs können dabei sensitive Daten schwärzen. Das klappt aber nicht immer, so dass Screenshots mit Kartendaten und Passwörter an Dritte (Glassbox) übertragen werden. Das hat Konsequenzen über Apple hinaus (Bestimmungen der Kreditkartenanbieter, DSGVO und sicher auch Gesetze in Übersee).
Gibt es denn eine Gesamtliste aller Apps die dieses Spionagetool verwenden?