Cada gesto no ecrã, cada letra escrita, tudo o que faz no seu iPhone a partir do momento em que abre certas aplicações pode estar a ser gravado, segundo a TechCrunch. Os serviços móveis da Abercrombie & Fitch, da Hotels.com e da Singapore Airlines, por exemplo, usam um serviço de monitorização da empresa de análise de dados Glassbox. O software está integrado nas aplicações móveis e grava o ecrã do utilizador enquanto este usa a aplicação. O vídeo, o chamado replay de sessão, é depois enviado para a empresa que produz a app para ser analisado.

A recolha de dados de utilização dos clientes é habitual tanto em websites como em aplicações móveis. Mas as gravações da Glassbox captam absolutamente tudo o que fizer dentro da app, como a introdução de palavras passe, e revelam todos os dados a que acede. Caso o software funcionasse de forma ideal, os campos sensíveis (como o número do seu cartão de crédito, por exemplo) seriam censurados antes do envio do replay de sessão. Mas uma investigação do App Analyst revelou que o processo de proteção do Glassbox é falível. A aplicação da Air Canada, em específico, captava todos os dados bancários e passwords dos seus 20 mil utilizadores.

Outra possível fragilidade está no arquivo das gravações. Empresas como a Hollister e a Abercrombie & Fitch guardam as gravações nos servidores próprios da Glassbox. Mas alguns dos clientes do serviço, incluindo a Expedia e a Hotels.com, mantêm backups dos replays de sessão em servidores próprios, que podem ser mais vulneráveis.

A Glassbox foi a aplicação analisada pela TechCrunch, mas existem outras empresas similares no mercado. A Appsee e a UXCam oferecem um serviço similar a clientes como o OLX, o eBay, a Samsung e o Duolingo. O trabalho realizado pela Glassbox, que em geral não está explícito nos Termos e Condições das apps, é resumido pela própria empresa num tweet que apela a possíveis clientes: “Imagine se o seu website ou aplicação móvel conseguisse ver tudo o que os seus clientes fazem em tempo real, e porque o fazem? (…) Isso é a Glassbox”.

Em resposta ao serviço similar utilizado, como a Appsee e a UXCam, por outras empresas, o OLX afirma que não retém nenhum dos dados bancários mencionados e que apenas obtém “os dados de navegação normais”. Enviou o seguinte esclarecimento ao Observador, que deixamos publicado na íntegra: “O OLX não retém quaisquer dados mencionados no artigo. No que respeita a dados de pagamento no OLX não são inseridos quaisquer dados bancários, os pagamentos são gerados através da  geração de referência bancária ou através de paypall. Os dados de navegação que o OLX obtém dos seus utilizadores são apenas os dados de navegação normais  – exemplos de cliques, respostas a anúncios e visualizações e páginas, não para efeitos de utilização desses dados a nível individual mas apenas e exclusivamente para efeitos de análise de tendências estatísticas”.

*Artigo atualizado a 10 de fevereiro, às 18h00, com esclarecimento do OLX quanto à utilização de aplicações similares à do Glassbox