Cada gesto no ecrã, cada letra escrita, tudo o que faz no seu iPhone a partir do momento em que abre certas aplicações pode estar a ser gravado, segundo a TechCrunch. Os serviços móveis da Abercrombie & Fitch, da Hotels.com e da Singapore Airlines, por exemplo, usam um serviço de monitorização da empresa de análise de dados Glassbox. O software está integrado nas aplicações móveis e grava o ecrã do utilizador enquanto este usa a aplicação. O vídeo, o chamado replay de sessão, é depois enviado para a empresa que produz a app para ser analisado.
[frames-chart src=”https://s.frames.news/cards/yearly-iphone-sales/?locale=pt-PT&static” width=”300px” id=”2″ slug=”yearly-iphone-sales” thumbnail-url=”https://s.frames.news/cards/yearly-iphone-sales/thumbnail?version=1548862423227&locale=pt-PT&publisher=observador.pt” mce-placeholder=”1″]
A recolha de dados de utilização dos clientes é habitual tanto em websites como em aplicações móveis. Mas as gravações da Glassbox captam absolutamente tudo o que fizer dentro da app, como a introdução de palavras passe, e revelam todos os dados a que acede. Caso o software funcionasse de forma ideal, os campos sensíveis (como o número do seu cartão de crédito, por exemplo) seriam censurados antes do envio do replay de sessão. Mas uma investigação do App Analyst revelou que o processo de proteção do Glassbox é falível. A aplicação da Air Canada, em específico, captava todos os dados bancários e passwords dos seus 20 mil utilizadores.
Outra possível fragilidade está no arquivo das gravações. Empresas como a Hollister e a Abercrombie & Fitch guardam as gravações nos servidores próprios da Glassbox. Mas alguns dos clientes do serviço, incluindo a Expedia e a Hotels.com, mantêm backups dos replays de sessão em servidores próprios, que podem ser mais vulneráveis.
Imagine if your website or mobile app could see exactly what your customers do in real time, and why they did it? This is no longer a hypothetical question, but a real possibility. This is Glassbox. Experience it for yourself: https://t.co/E3uXcr0Gjf pic.twitter.com/9cJ40xbSaI
— Glassbox (@GlassboxDigital) October 16, 2018
A Glassbox foi a aplicação analisada pela TechCrunch, mas existem outras empresas similares no mercado. A Appsee e a UXCam oferecem um serviço similar a clientes como o OLX, o eBay, a Samsung e o Duolingo. O trabalho realizado pela Glassbox, que em geral não está explícito nos Termos e Condições das apps, é resumido pela própria empresa num tweet que apela a possíveis clientes: “Imagine se o seu website ou aplicação móvel conseguisse ver tudo o que os seus clientes fazem em tempo real, e porque o fazem? (…) Isso é a Glassbox”.
Em resposta ao serviço similar utilizado, como a Appsee e a UXCam, por outras empresas, o OLX afirma que não retém nenhum dos dados bancários mencionados e que apenas obtém “os dados de navegação normais”. Enviou o seguinte esclarecimento ao Observador, que deixamos publicado na íntegra: “O OLX não retém quaisquer dados mencionados no artigo. No que respeita a dados de pagamento no OLX não são inseridos quaisquer dados bancários, os pagamentos são gerados através da geração de referência bancária ou através de paypall. Os dados de navegação que o OLX obtém dos seus utilizadores são apenas os dados de navegação normais – exemplos de cliques, respostas a anúncios e visualizações e páginas, não para efeitos de utilização desses dados a nível individual mas apenas e exclusivamente para efeitos de análise de tendências estatísticas”.
*Artigo atualizado a 10 de fevereiro, às 18h00, com esclarecimento do OLX quanto à utilização de aplicações similares à do Glassbox