Сделал второй пост с доказательствами и опровержением заявлений Burger King. Читать здесь.
UPD:
fennikami
Я предоставил видео-доказательство того, что поля ввода данных (в том числе — банковских карт) не скрываются + видео отправляется каждый раз при запуске (в чем вы сами можете убедиться, отследив трафик приложения).
Таким образом я имею опровержение официального ответа Burger King о том, что «личная информация скрыта» и того, что якобы используется выборка на 10% пользователей.
Стоит отметить, что ни в одном из официальных видео Burger King (где они якобы демонстрируют скрытие личных данных) не показано меню привязки банковской карты.
В этом видео оно показано.
Также хочу отметить, что после публикации оргинального расследования — на мой блог начались хакерские атаки (брутфорс админки, поиск эксплоитов, попытка DDoS).
Я готовлю второй пост на эту тему.
Stay tuned, больше информации — в моем блоге.
Привет, Хабр! Мне 18 и
Запускаю их приложение, наблюдаю за трафиком. И тут обнаруживаю это:
Что это такое? Если нет идей, смотрите под катом.
UPD:
3amynoKUPD модератора Хабра:
Я бы сказал они ходят по офигенно тонкому льду. Я вижу тачи — переходы между полями, но тапов по клавиатуре я не нашел в их данных. yadi.sk/d/tjxg2OJ83Z6YB8 Я снова зашел на форму, ввел в номере карты 123456… Что я вижу так это открытие формы карты «BurgerKing.PYCardInput»,«s»:132000 где s это время, потом смотрел все тачи TouchEvents с этого времени и отметил их на скрине. Actions значения смутили, там есть «h»:216 что есть высота клавиатуры и там какие то события с «i» подряд 1, 2, 4. Я думаю это выбор даты срока карты при выборе в барабане.
Мы связались с участниками истории и получили комментарии — следите за ними в нашей статье.
А это запрос от приложения к серверу (сверху) с информацией вроде его версии, модели телефона, времени запуска, разрешении дисплея. Вроде бы все нормально, но…
В ответ телефону приходит информация (снизу) о том, как записывать видео с экрана.
Причем, параметр MaxVideoLength (максимальная длина видео) указан как «0», что значит — бесконечная запись (пока приложение запущено).
Т. е. — приложение не просто записывает экран, а делает это непрерывно, и ровно таким же образом непрерывно отсылает запись на сервер. Пользователи мобильного интернета (то есть почти все) такую «фичу» оценили, думаю.
Запись экрана передается как обычный *.mp4-поток:
Обратите внимание на адрес *.appsee.com/upload (AppSee — это видео-метрика для приложений) слева и сам файл *.mp4 справа (в заголовке информация о кодировании, чуть ниже — сам *.mp4).
Ну и вишенка на торте: экран записывается даже тогда, когда Вы вводите данные своей банковской карты в приложении (и это необходимо для осуществления заказа). Заметьте, все данные.
И финальная вишенка: мало того, что записывать экран — весьма сомнительное занятие, так еще к записанным видео имеют доступ не только разработчики приложения Burger King, но и различные партнеры AppSee (то есть — совершенно левые люди с неизвестными намерениями), да и сам AppSee тоже.
Напомню — видео записывается даже тогда, когда вы указываете данные своей банковской карты. И к нему имеют доступ кто попало.
Вот так выглядит само видео:
P.S.: да-да, вы могли читать этот пост в похожем виде на другом сайте, но такому бургер-огню явно место на Хабре. Надеюсь на понимание всех и НЛО.
Комментарии (465)
Hoffmaestro
12.07.2018 10:27+2Подобных мерзостей от этой компании и ожидал, поэтому не доверил им даже номер телефона.
Кто-нибудь знает, возможно ли в условиях российской действительности устроить для компании какие-нибудь проблемы и вообще ответственность за подобное поведение?ankh1989
12.07.2018 12:06+2Запросто. Запостить на реддит.
genoxide
12.07.2018 13:27На реддите пост об этом уже забанили www.reddit.com/r/BurgerKing/comments/8y6g27/burgerking_collects_users_data_on_ios_devices
fennikami Автор
12.07.2018 17:06-2Скорее авто-модератор. С Реддитом намучался в свое время из-за этого.
W0xel
12.07.2018 12:06-9Каких мерзостей? Человек залез в код, удалил сертификат, запустил приложение на эмуляторе. О чем речь? Вы осознаёте, что любой код можно переписать так, чтобы в него можно было вмешиваться?
Sabubu
12.07.2018 12:17+1Вот-вот, меня удивляет, у нас ведь по закону запрещено скрытое наблюдение, и даже покупка устройств для этого, а тут компания устраивает скрытую запись экрана пользователя. Было бы конечно хорошо, если какой-нибудь РКН взбесился и хоть раз сделал бы что-то полезное. Пусть разработчики испытают на себе то же, что и люди, заказывающие ручки с видеокамерой.
AlexRed
12.07.2018 15:15Пользователь сам дает согласие на такую запись. ToS никто не отменял — еще скажите, что Windows не предупреждает, что следит)
p.s. " люди, заказывающие ручки с видеокамерой" — это зона ответственности не РКН, а ФСБ)
А так любой желающий может накатать жалобу РКН на Бургер Кинг, но ответ будет очевидным — с точки зрения бумажного законодательства все четко, вы сами соглашаетесь с условиями использования приложения, а технически РКН не проверит так ли честны разрабы или нет.Sabubu
12.07.2018 18:46+9Есть же простое и этичное решение проблемы. Показать при первом запуске приложения попап с иконкой видеокамеры и надписью: «В целях улучшение приложения мы бы хотели вести видеозапись вашей активности в нем. Разрешить? Да/нет».
Почему они так не делают? Потому, что они не хотят, чтобы 1) у пользователя был выбор 2) он вообще об этом знал.
Это неправильно, должно быть наоборот.
То, что вы предлагаете — «читать ToS» — это предложение жить в мире, где все пытаются друг друга обмануть и перехитрить. Где приходя в ресторан или гостиницу, вам придется прочитать целиком все юридические документы (а вдруг там написано, что вы обязаны потом пожизненно им платить за один раз оказанную услугу), где вам придется в автосалон или на собеседование на работу ходить с юристом (там вообще куча вариантов обмана). Где честный бизнес не может соревноваться с наперсточниками.
Мне это не нужно. Мне нужен мир, в котором я могу пользоваться любыми приложениями и услугами, и знать, что они не будут следить за мной, а если попытаются, то их настигнет карающая рука закона. Где торговцев персональными данными преследуют сильнее чем торговцев наркотиками.
Ipeacocks
12.07.2018 21:24+2> вы сами соглашаетесь с условиями использования приложения
т.е. по-вашему туда можно написать все что угодно и законодательно это будет ОК, потому что нажали соглашение?
vikarti
12.07.2018 16:26Как бы — AppSee в том числе для этого и предназначена. Как и например — TestFairy.
Оно полезно при разработке.
Другое дело что вменяемые разработчики на экранах вроде вводе данных кредитки — выключают запись. Да и вообще используют такие вещи на альфа/бета-версиях.
У AppSee же — Which sessions will be video recorded?
Appsee automatically selects the sessions to record in order to provide a sufficient sample of your users. You can also manually select which sessions will be video recorded.
Ну с другой стороны — считают что эти данные им нужны для отладки. А вы с этим — согласились (хотя вот ОЧЕНЬ интересно — если утекут номера кредиток через AppSee — Бургеркинг готов отвечать за это?).
p.s.
Сейчас пишу приложение, номеров кредиток там и близко нет (как и медицинских например данных) но есть данные которыми возможно пользователи не захотят делится даже с другими пользователями (сколько и за что они заработали).
В лог пишется в том числе весь сетевой (расшифрованный) сетевой обмен, при сбоях — последние несколько десятков килобайт логов — улетают в Crashlytics.
Не раз выручало при выяснении что не так.
Но если таким способом что-то секретное утечет через нашу компанию — сначала этот клиент по шее даст компании, а и мне (или другим разработчикам с доступом) прилетит. NDA подписаны и там санкции прописаны.
roryorangepants
13.07.2018 12:55Мне кажется, что сервисы типа AppSee и TestFairy в целом предназначены в первую очередь для тестовых сессий (например, тестировщик случайно крашнул приложение, а потом по видео смог восстановить свои шаги), а не для массового использования в проде.
Meklon
12.07.2018 10:30+1А выложи-ка само видео? Кстати, ты говорил, что оно еще и прикосновения пишет параллельно?
u4b
12.07.2018 10:37+1У него нет такого видео. Автор просто соврал. На Пикабу эту историю успешно схавали. Если тут тоже схавают без фактчека — будет смешно.
appsee блюрит поля ввода. Так что данные карты не видны.
fennikami Автор
12.07.2018 11:07+4AppSee замазывает поля только если это указать отдельно.
aobondar
12.07.2018 11:54+3Да именно так. Вы проверили что в приложении BK они не замазываются? Или это из серии «а если бы вот они не замазывали — они бы получили данные»
ClearAirTurbulence
13.07.2018 10:07+3А что даст эта проверка, если настройку в любой момент может изменить как эксплуататор приложения, так и злоумышленник, неправомерно получивший доступ к его системе, либо подменивший JSON, прилетающий программе с сервера?
arbalet42
12.07.2018 11:24+1И… Это всё, что Вы можете на это сказать? Что сервис записи видео замазывает поля ввода?
А то, что программа заказа бургеров без разрешения и огласки записывает экран — это, типа, нормальное поведение?!
Данный функционал должен быть отражен в списке разрешений. Чтобы я его мог отключить.u4b
12.07.2018 11:26+3А Хабр использует Яндекс метрику с флагом webvisor:true и тоже нигде об этом не пишет.
Скорее закрывайте браузер!
*сарказм*sumanai
12.07.2018 18:43Вот поэтому я и не использую приложения, а только сайты. На сайте я могу порубить всю эту оналитику.
XanKraegor
12.07.2018 20:24В приложении тоже можно порубить «оналитику», если, например, использовать свой DNS.
Ipeacocks
12.07.2018 21:28Да, а потом Хабр просит не юзать Адблок. Да и вообще если Хабр это делает, это не значит, что Бургер тоже это делать может.
aobondar
12.07.2018 11:58+7если вы почитаете ToS BK, то увидите что вы даете разрешение на доступ к этим данным. И с добрым утром, такая телеметрия есть в любом продвинутом приложении. Хорошо это или плохо — это отдельный вопрос.
Но автор несет чушь.
— Утверждает, что AppSee может слить эти данные — но в PP сервиса указано, что доступ к этим данным имет толкьо их сервис провайдеры типо хостеров и т д.
— Утверждает что на запись попадают данные карт. Но не предоставил пруфов, что в видео действительно уходят данные карт не заблюренные.Sabubu
12.07.2018 12:14-4> Утверждает, что AppSee может слить эти данные — но в PP сервиса указано, что доступ к этим данным имет толкьо их сервис провайдеры типо хостеров и т д.
Ну вот фитнес-трекер слил расположение военных баз например, хотя у него тоже была privacy policy и прочие имитирующие саморегулирование документы. Тут нужен государственный кулак, без него капиталистов в погоне за прибылью не угомонить.
> сли вы почитаете ToS BK, то увидите что вы даете разрешение на доступ к этим данным.
Это неправильно. Рекламировать приложение как способ удобного заказа бургеров, а по факту следить за пользователями. Почему они в рекламе это не пишут, а прячут в ToS?
Вот представьте, вы будете покупать машину, а в автосалоне вам в договор припишут мелким шрифтом, что это не продажа машины, а сдача ее в аренду на месяц за полную стоимость. Или что предоплата в размере 30%, которую вы внесли, не входит в стоимость машины, а лишь оплачивает ее демонстрацию вам. Или вам предложат купить лекартсво, излечивающее болезнь, а в договоре мелким шрифтом напишут, что это просто витамины и что согласно научным исследованиям они действительно улучшают здоровье.
Вы наверно скажете, что это нормально, что надо читать договор, но вот правоохранительные органы могут такое квалифицировать как мошенничество. Думаю, и с тайной слежкой должно быть то же самое. У нас ведь запрещен оборот устройств (а хотят добавить сюда и программы) для скрытой съемки, а с точки зрения пользователя, это и есть скрытая съемка экрана.
Капиталисты сами себя не урегулируют — они напишут в ToS что вы обязаны продать им душу — потому нужен государственный кулак, который будет над ними висеть. Мы видим, к сожалению, что другие варианты не работают.AndrewFe
12.07.2018 23:31Абстрагируясь от сути топика.
Если уходить в правовое поле — есть нормативные акты, регулирующие правила написания контрактов и соглашений. При их нарушении крупную интернациональную корпорацию заставят принять противоестественную позу и выплатить ВЕСЬМА ощутимый штраф.
Или Вы думаете что у компании уровня бургеркники юристы уровня «папа протащил на юрфак»?
aobondar
12.07.2018 12:12+7Если тут тоже схавают без фактчека — будет смешно.
И судя по рейтингу статьи вполне себе схавали. Ну раз в статье джейсоны, и скрины админских тулзов — значит серьезное расследование, зачем разбираться. Очень обидно за хабр.PurpleTentacle
12.07.2018 12:22+4Обидно ещё и за аудиторию: у большинства нет сомнений, что корпорации их обворовывают, прослушивают, бигдатят и зомбируют. А хрен с ним, что в ЕС, РФ и США действует тонна законов, регулирующих и ограничивающих сбор данных, а большие корпорации – первая цель для всех проверяющих органов. Хрен с ним, что AppSee зарегистрирована как компания и имеет кучу партнёров уровня Samsung и eBay. Хрен с ним, что приложение прошло AppStore Review и у него есть разработчик с именами и фамилиями. Не, это всё не берётся в расчёт. Раз я могу быстро забацать в xCode приложение и отправлять себе на домашний сервер свои же данные, то совершенно очевидно, что крупные корпорации делают так же и не имеют никаких последствий от многочисленных комиссий и комитетов, которые с этого живут.
Увы, критическое мышление и проверка источников – это потенциальные возможности, а не имманентные человеку данности. Желтизна такая желтизна.Sabubu
12.07.2018 12:53+1А компания Burger King как рекламирует свое приложение? Как приложение для желающих бесплатно поработать тестером и разрешить запись их экрана или как приложение для заказа бургеров? По моему, это разные вещи.
Это и есть обман. Есть мошенники, которые продают пенсионерам за огромные деньги витамины под видом лекарств для их болезни, а есть компании, которые обещают одно, а тайком делают другое.
Мне, наоборот, непонятна логика тех, кто это защищает. Вам нравится, что компании следят за вами и ущемляют ваши права — это, конечно, ваше дело, но почему от этого должны страдать другие?
> Хрен с ним, что приложение прошло AppStore Review и у него есть разработчик с именами и фамилиями.
И? это говорит лишь о том, что AppStore Review не очень беспокоит приватность пользователей, если ее нарушение прописано где-то в глубине ToS.Kemper
12.07.2018 13:03+2Господа… надеюсь тут все разработчики и мы все прекрасно понимаем, что нельзя отловить все баги на этапе тестирования. Конечные пользователи не умеют писать багрепорты (единицы на самом деле). Они будут в комментах паниковать и орать.
Что в таком случае вы предлагаете делать?BingoBongo
12.07.2018 13:15Все критические баги найти более чем реально, либо вы не тестированием, а неизвестно чем занимаетесь. Обычно, баги, которые не удалось отловить на этапе тестирования, повторить тяжело в принципе, даже имея видео. AppSee больше нацелено на замену рядовых тестировщиков.
Они будут в комментах паниковать и орать.
Как разработчик вы должны знать, что в комментах всегда кто-то будет орать и паниковать.
Что в таком случае вы предлагаете делать?
jok40
12.07.2018 13:26Не представляю, как видео с экрана может помочь выловить баги. Это должны быть баги размером с паровоз. Копить логи на дивайсе, а при крэше приложения сливать их на сервер — решение гораздо более полезное во всех отношениях. Можно даже не сразу сливать, а только по команде с сервера.
Kemper
12.07.2018 13:46+1Я лично видео + логи сопоставляю. Пару раз помогло отловить серьёзные баги, которые на этапе внутреннего тестирования не заметили. И это не вина тестировщиков. Баги были нереально редки и встречались только на определённом железе еще. Бывает всякое.
БГ нужно было оповестить о том, что есть запись видео и её можно отключить в настройках.
aobondar
12.07.2018 14:51Вы явно не разрабаотывали мобильного приложения с большим количеством юзер-путей. С логами всегда одна и та же проблема — либо они избыточно подробные, и их невозможно адекватно анализировать, либо слишком скупы. Да и на этапе разработки не всегда очевидно какие данные в логах понадобятся для дальнейшего анализа. А вот записанный сценарий использования — отличное подспорье для воспроизведения бага.
MacIn
12.07.2018 19:33Как вариант — запись видео по запросу пользователя. Увидел какую-то проблему (не crash — он должен ловиться dump'ами) — залез в менюшку — отослать bug report, по запросу начинается запись экрана и в конце отправляется разработчику.
Welran
13.07.2018 15:18Когда баг произошел видео записывать уже поздновато. Запись видео частенько помогает отловить странные и трудновоспроизводимые баги.
Sabubu
12.07.2018 19:32+2При запуске приложения показать попап и попросить разрешение на видеозапись экрана для улучшения приложения. Предложить варианты выбора «да» и «нет».
Будет 100% этичное решение, и в тестировании будут участвовать только те, кто хочет.
ebragim
12.07.2018 15:07+1Как приложение для желающих бесплатно поработать тестером и разрешить запись их экрана или как приложение для заказа бургеров?
А ещё у пользователей есть глаза, которыми можно увидеть разрешение на это в пользовательском соглашении. Если кто-то ленив и не хочет читать — это исключительно его проблемы, у нас взрослый мир, а не ясли, где всё надо разъяснять. Не удивлюсь, что при первом запуске был крыжик «разрешить отправлять информацию для улучшения приложения», который никто не снимал.Sabubu
12.07.2018 19:38+5А вы, когда в ресторан приходите или в гостиницу заселяетесь, читаете все юридические документы? Не боитесь, что там будет «оформляя заказ, Клиент дает неотзываемое согласие на вступление и ежемесячную оплату взносов Клуба Успешных Людей. В случае нежелания вступать в Клуб, Клиент обязан покинуть заведение до оформления заказа»?
А когда врач вам выписывает лекарство, вы читаете все документы? Не боитесь, что вам выпишут витамин C по завышенной цене и постелят соломку в пользовательском соглашении?
Ну и машину вы конечно пойдете покупать только в компании юриста, да?
Вы предлагаете идиотизм — обязать всех читать длинные юридические документы (а они будут длинными, я вам гарантирую) и разрешить обманывать не читающих их людей. А надо, чтобы никого нельзя было обманывать.stychos
12.07.2018 22:39+1Вы же предлагаете тоталитаризм, где за вас всё будет делать умный большой начальник в погонах. Ну или охлократию, где масса граждан с образованием ниже среднего и обратно пропорциональными по громкости воплям будет всюду носиться, выпиливая всех неугодных, независимо от их полезности.
Не беспокойтесь, совсем бреда в капиталистических договорах не напишут, иначе найдётся какой-нибудь совсем обиженный капиталистический пользователь, который засудит эту большую компанию на большую сумму денег, и бред из договора придётся удалять. Ну и кроме того, эти большие компании и так перманентно страдают от капиталистических государств, которые всё норовят найти у них какие-нибудь огрехи, и также стрясти с них денег побольше.Sabubu
12.07.2018 23:09-1Я предлагаю адекватное госрегулирование, которое работает и проверено временем. К чему приводит отсутствие регулирования, мы уже увидели — бесконтрольные сбор и накопление перс. данных, утечки, скандалы.
Это же не моя вина, что компании не могут без закона сами выработать адекватные правила обращения с перс. данными и правила раскрытия информации.
> Не беспокойтесь, совсем бреда в капиталистических договорах не напишут, иначе найдётся какой-нибудь совсем обиженный капиталистический пользователь, который засудит эту большую компанию на большую сумму денег
А почему? Потому что приняты специальные законы на эти случаи. Вы удивитесь, сколько различных законов напринимали, например, в позиционируемой как «самая свободная» стране США.
Ну так давайте сделаем то же самое и для любителей прятать разрешение на слежку в ToS. Чтобы попытка обхитрить пользователя программы расценивалась судом так же, как попытка обмануть пациента или покупателя автомобиля всякими скрытыми комиссиями.stychos
13.07.2018 00:07Я предлагаю адекватное госрегулирование, которое работает и проверено временем.
Где предлагаете? Какое такое регулирование проверено временем? Мы много чего видели на своём веку, и много чего ещё увидим. Но адекватного госрегулирования ещё не видели.
Это же не моя вина, что компании не могут без закона сами выработать адекватные правила обращения с перс. данными и правила раскрытия информации.
Я наблюдаю обратное — большинство компаний заботятся о персональных данных намного больше государств, и они первыми же эту заботу и начали выказывать и активно продвигать.
А почему? Потому что приняты специальные законы на эти случаи. Вы удивитесь, сколько различных законов напринимали, например, в позиционируемой как «самая свободная» стране США.
Вот где-где, а в США законы не принимаются с бухты-барахты по хотению левой пятки возопившего пикабушера. Там для этого нужны твёрдые основания и безапелляционно выигранное дело в суде, чтобы прецендент был.
Ну так давайте сделаем то же самое и для любителей прятать разрешение на слежку в ToS. Чтобы попытка обхитрить пользователя программы расценивалась судом так же, как попытка обмануть пациента или покупателя автомобиля всякими скрытыми комиссиями.
А вот это уже давно зарегулировано российским законом. Если считаете, что ToS той или иной компании нарушают ваши права, что за вами организуют слежку против вашей воли, что публичная оферта не соответствует действиям — суд вам в помощь, вот только сопли на Хабре разливать не стоит.
И кстати, вы не думали о том, что ваши деяния могут также быть рассмотрены законом как преступление? Ну например, можно задействовать ст. 152 Гражданского кодекса, для начала.
stychos
13.07.2018 00:15Я предлагаю адекватное госрегулирование, которое работает и проверено временем. К чему приводит отсутствие регулирования, мы уже увидели — бесконтрольные сбор и накопление перс. данных, утечки, скандалы.
И ещё раз по этому пункту. В Конституции сказано, что «1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.» И это применимо ко всем сторонам, к государству — в том числе. И вот когда оно начинает что-то там регулировать в Интернете, от которого, по-хорошему, должно быть отделено также, как и от церкви, то нормальным людям становится дурно. Молчу уже о всяких новеньких законах, которые прямо противоречат и букве, и духу данного пункта.Sabubu
13.07.2018 17:42Конституция дает только общее описание государственного устройства, а конкретизируется оно законами. Ну например, конституция не указывает, каким образом должно быть получено «согласие» на распространение данных — а капиталисты естественно заинтересованы в том, чтобы прописать это согласие в глубине пользовательского соглашения на 10000 слов.
Потому закон, который запретит такие трюки, несомненно, будет полезен.
Разумеется, хороший закон написать трудно, так же, как и написать хороший код. Для этого должно совпасть много факторов — и адекватное правительство, прислушивающееся к мнению граждан, и общественное обсуждение, и грамотные эксперты, и СМИ, освещающие дискуссии и выявляющие попытки пролоббировать выгодные для компаний пункты.
Нынешнее правительство, которое не выбрано на конкурентных выборах, конечно, адекватным я не считаю. Но это не отменяет того факта, что кроме закона ваши персональные данные никто не защищтит. Вы можете хоть обвешаться адблоками и блокировщиками, но это не помешает сотовому оператору, интернет-магазину, банку раздавать ваши данные направо и налево.
Ну серьезно, расскажите, как в отсутствие закона вы запретите сотовому оператору продавать данные о ваших звонках и вашем местоположении? А банку — о ваших финансах и тратах.
Ipeacocks
12.07.2018 21:33+1Вы читаете все пользовательские соглашения? Сколько у вас примером уходит времени на установку, ну не знаю, Вайбера?
arbalet42
12.07.2018 13:25+2Как раз-таки аудитория может смотреть шире на ситуацию, по крайней не так однозначно как Вы в Вашем сообщении, в котором мир представлен через призму розовых очков. Аудитория, например, может помнить про:
у большинства нет сомнений, что корпорации их обворовывают, прослушивают, бигдатят и зомбируют.
— то, что именно на этом строит свою бизнес-модель, например, Facebook и Google — одни из крупнейших компаний в мире; здесь на Хабре неоднократно постились статьи и комментарии с конкретными примерами, как то или иное приложение шпионит за пользователем — последний раз вчера в статье про колонку Яндекс.Станция;
А хрен с ним, что в ЕС, РФ и США действует тонна законов, регулирующих и ограничивающих сбор данных, а большие корпорации – первая цель для всех проверяющих органов.
— историю с Cambridge Analytica. Нахождение её штаб-квартиры в Великобритании, а Facebook — в США, как-то не помогло.
что AppSee зарегистрирована как компания и имеет кучу партнёров уровня Samsung и eBay.
— что наличие партнеров в определенный момент времени мало о чем говорит; стоит компании/лицу «замарать» свое имя, как партнеры сразу же разрывают любые деловые связи; наглядно в историях со спортсменами — не успело прозвучать обвинение в допинге/избиении жены/краже кроссовок из магазина, как на следующий же день от рекламодателей (партнеров) и след простыл;
что приложение прошло AppStore Review
— его же прошли и откровенно стремные приложения, например для джейлбрейка, замаксированное, если я правильно помню, под фонарик; если говорить про Android (под который также есть приложение «Бургер Кинг»), то с периодичностью раз в месяц публикуются статьи с оценкой количества откровенно вредоносных приложений — счет идет на тысячи.
Так что не стоит обижаться на аудиторию Хабра — скепсис должен быть понятен.
Причем вредоносное использование ранее собранных данных может произойти и без злого умысла, а просто по недосмотру или разгильдяйству — забыл админ сменить настройки по умолчанию, и вот твои данные уже в сети. Причем админ может быть ответственным за инфраструктуру военной базы — и всё равно он может забыть сменить стандартный пароль на рутере и обновить прошивку последнего.PurpleTentacle
12.07.2018 14:35Дорогой мой человек, это не розовые очки, а сущая реальность – большинство крупных компаний и даже государств (отдельные не в счёт) понятия не имеет, что им делать с таким объёмом данных о клиентах. После случая, когда в США спокойно въехали откровенные террористы просто потому, что данные на них были у одного ведомства, а границу проверяет другое, после ситуаций, когда в ЕС и США можно годами жить, платить всюду картой, брать в аренду машины и пользоваться мобильниками при полном отсутствии легальной визы, после того, как DHL Россия не может ничего поменять в заказе на моё имя, посланным из Чехии в Италию и посылает «звонить туда», после того, как Делимобиль постоянно звонит мне и предлагает новые тарифы, хотя сам же отказал в регистрации и запросил у меня бумажную справку из ГАИ о действительности прав (номера по базе и фотки им мало), после того, Apple Россия не может отменить ошибочный сертификат из США, после того, как я столкнулся с адовой бюрократией и семью начальниками, которые должны согласовать любой чих в больших компаниях, после всего этого я сильно сомневаюсь в том, что они умеют нормально обрабатывать бигдату. Какие-то отдельные запросы делают, но до нормального построения профиля клиента по косвенным данным ещё очень и очень далеко. Просто ещё руководство не понимает, что это такое.
А по Вашему списку моих тезисов – я согласен с Вами, каждый этап можно объяснить и найти многочисленные примеры косяков. Но эти примеры рано или поздно становятся известными и ломают какой-то один уровень. Чтобы у такой большой корпорации месяцами работала явно противоправная схема, которую кто-то приказал разработать и внедрить, чтобы им повезло на всех этапах проверок, чтобы ни один начальничек не побоялся бы стать крайним, чтобы сознательно идти на столь опасную игру в правом поле последних законов, посвящать десятки человек в схему (а они вовсе не ЦРУ) – это больше похоже на конспирологию и сильное преувеличение разумности больших компаний.
А так-то – да, идиотов всюду хватает и пароли стандартные оставляют, и пропуска не проверяют, и социальную инженерию никто не отменял. Но я бы не паниковал раньше срока.
BingoBongo
12.07.2018 15:06А хрен с ним, что в ЕС, РФ и США действует тонна законов, регулирующих и ограничивающих сбор данных, а большие корпорации – первая цель для всех проверяющих органов. Хрен с ним, что AppSee зарегистрирована как компания и имеет кучу партнёров уровня Samsung и eBay.
И вот к чему приводят тонна законов и именитые бренды habr.com/post/416885
johovich
12.07.2018 14:47А почему бы тебе не написать опровержение? Не будет обидно за хабр тогда. Хабр это мы и есть.
3amynoK
12.07.2018 13:28+3У меня даже эти поля ГГ: ММ замазаны, я проверил сразу же, эту новость уже везде растиражировали, а автор не предоставляет видео, которое он получил. Новости в 21 веке это когда много лайков (tjournal, hitech.vesti, appleinsider).
Superl3n1n
12.07.2018 13:37+1Если Вы человек в теме, и у Вас есть сейчас возможность повторить описанное в статье. То не могли бы Вы пожалуйста и файл с обработкой нажатий на экран проанализировать. А именно, в момент ввода кредитки пишутся ли события нажатия на клавиши клавиатуры?
3amynoK
12.07.2018 14:26+1Отличная идея. Попробовал найти. Я бы сказал они ходят по офигенно тонкому льду. Я вижу тачи — переходы между полями, но тапов по клавиатуре я не нашел в их данных. yadi.sk/d/tjxg2OJ83Z6YB8 Я снова зашел на форму, ввел в номере карты 123456… Что я вижу так это открытие формы карты «BurgerKing.PYCardInput»,«s»:132000 где s это время, потом смотрел все тачи TouchEvents с этого времени и отметил их на скрине. Actions значения смутили, там есть «h»:216 что есть высота клавиатуры и там какие то события с «i» подряд 1, 2, 4. Я думаю это выбор даты срока карты при выборе в барабане.
jex
12.07.2018 16:54fennikami вот это стоит в пост добавить, а то пока пустовато.
3amynoK
12.07.2018 16:57+1В пост следует добавить что это ложь и вброс. Приложению BK обвалили рейтинг, куча людей уже не узнает что на самом деле их ввели в заблуждение.
fennikami Автор
12.07.2018 17:12+1Никто их в заблуждение не ввел.
Еще раз: телеметрия с записью экрана при вводе данных карты — не круто.
Вечером залью видео которое внезапно опровергает что у БК данные карты замазаны.3amynoK
12.07.2018 17:15Я следил за ситуацией и видео вы не предоставили сразу, было много вопросов о нем, я это видео получил за 30 минут (у меня все было настроено). Я просто не верю, признавать ошибки надо.
fennikami Автор
12.07.2018 17:00+2Уже добавил.
KostaArnorsky
12.07.2018 20:46Почему-то я не вижу видео, только скриншот видеоплеера. Я что-то неправильно делаю? Можете дать ссылку на видео?
nidalee
12.07.2018 22:31Sabubu
12.07.2018 23:15+1На видео виден номер телефона, который является ПД. По номеру телефона можно, купив данные у дата-брокеров, например найти человека в других базах: базах покупок, базах пользователей скидок, базах бравших кредиты итд.
Причем, что интересно, они требуют номер телефона для использования приложения, даже если ты хочешь просто посмотреть каталог товаров, и например придти и заказать их лично. Вот так отношение к людям.3amynoK
13.07.2018 04:36Обещали исправить в теме на 4PDA, там email, номер телефона и имя юзера на видео не замазаны.
JC_IIB
12.07.2018 10:43+1Да, видео было бы интересно глянуть, но что-то автор не спешит его выкладывать.
прикосновения пишет параллельно
Скажу честно, я в этом — ни уха ни рыла, но строчка UploadTouchEvents = True выглядит подозрительно.AlexRed
12.07.2018 11:10Пишет много чего www.appsee.com/features
Но все вполне официально и по GDPR)fennikami Автор
12.07.2018 11:15Что же вы этот GDPR суете везде?
GDPR — глупый закон, который сам по себе ну никак не помогает в privacy regain, и это не показатель.W0xel
12.07.2018 12:33Правда что ли? А гиганты типа Google — дураки. Это они сами себе напредумывали в своей «гейроппе»
jex
12.07.2018 16:59Непонятно за что заминусили, ведь GDPR действительно ужасен. Он только увеличит стоимость разработки, издержки IT компаний, но никак не поможет с защитой приватности данных. Просто это всё будет делаться неформально самыми наглыми компаниями, а добропорядочные будут проигрывать конкуренцию. К appsee претензий не имею, но защищать GDPR… Серьезно?!
godlatro
12.07.2018 12:33получается так что именно appsee пишет видео, а не бургер кинг.
То есть аналитику ведет это приложение, а бургер выступает лишь как распространитель.
В любом случае писать данные карты да и вообще любые данные — на видео это жесть.
Это реально нарушение моей приватности. Это уже за гранью аналитикиSabubu
12.07.2018 13:02Нет. AppSee не сам пришел к вам на телефон, его установили разработчики Burger King. Это они следят за вами, а AppSee лишь производит инструмент для этого.
godlatro
12.07.2018 13:24+1appsee же платформа, и на её сервера идут все данные. Разве нет?
Я конечно не пользовался, не знаю. Но в моем представлении это именно так и работает, исходя из опыта других продуктов. Того же вебвизора как выше упомянулиWelran
13.07.2018 15:27Модуль appsee пишет видео и отправляет на свой сервер откуда аналитики или разработчики бургер кинга забирают информацию, в том числе и записанное видео. Сами appsee вряд ли вообще просматривают их, там же миллионы видео файлов записываются, а им оно вообще не нужно.
godlatro
12.07.2018 12:34некоторые еще харю пытаются писать без разрешения. Как то фонарики всякие, банковские приложения
3amynoK
12.07.2018 14:53Данные события можно посмотреть в прикрепленном файле здесь habr.com/post/416919/#comment_18874797. Ничего серьезного я там не нашел, но для формы ввода карты надо запрещать любой сбор данных.
fennikami Автор
12.07.2018 17:13Не спешу выкладывать потому что я, внезапно, человек и мне надо спать после бессонной ночи.
thelongrunsmoke
12.07.2018 10:31+1Опять? Привыкните уже — приложения и сайты имеют аналитику, вебвизор и иные средства анализа взаимодействия пользователя с продуктом.
lightman
12.07.2018 10:34Пусть и разработчики тогда привыкают, что пользователи всеми силами блочат эти «интересные» функции. Пост автора побудил меня наконец разобраться в вопросе и поставить на свой телефон блокировщик трафика и прочих следилок (я раньше неверно думал, что для этого требуется рут, оказалось не так), даже приобрёл это приложение, что делаю в исключительных случаях.
thelongrunsmoke
12.07.2018 11:05Лёгкая паранойя, вполне нормальное явление. Количество пользователей, которые блокируют аналитику обычно не превышает 30%. Так что и у разработчиков есть достаточно данных для анализа и пользователи довольны.
thauquoo
12.07.2018 10:43+2Есть этичные свободные приложения с того же F-Droid, которые просто делают свою работу, не запрашивают излишних разрешений, и даже работают оффлайн, там где это возможно, а не требуют доступ в сеть.
Vilgelm
12.07.2018 11:21+1Если вебвизор будет стоять на странице оплаты, где вводятся данные карты, то это большая проблема.
unlor
12.07.2018 12:23Стоял. И записывал. Действительно, можно было через вебвизор видеть, какие логин/пароль вводит пользователь. Но какое-то время назад Яндекс это пофиксил.
Vilgelm
12.07.2018 17:30Логин\пароль не так страшно, т.к. владелец имеет доступ к этим данным все равно. А вот данные карты — страшно, т.к. может быть сайт с каким-нибудь нормальным биллингом, который при этом будет собирать данные карт.
Daniyar94
13.07.2018 01:12Шта? Нормальные девелоперы давно хешируют и солят пароли, так что даже они не знают их :/
Sabubu
12.07.2018 11:46Лет 100 назад так же говорили про права рабочих и работодателей, и с тех времен произошли изменения: введены минимальная заработная плата, приняты дополнительные законы об охране труда.
Думаю, что и в случае с приватностью, надо не привыкать, а изменять систему.
Если компании нужно тестировать свое приложение на пользователях, пусть нанимают тестеров за бесплатные бургеры, а не используют людей в качестве подопытных свинок.BingoBongo
12.07.2018 12:20Тут кто одеяло перетянет: если бы не потребность в узкоспециализированном высококвалифицированном труде, который позволил уже рабочим диктовать условия, то сейчас бы мы так и жили большинством в рабстве. Иногда возникает чувство, что благодаря информационным технологиям и глобализации ценность человеческой жизни снова падет…
Gorniv
12.07.2018 10:32+2Вам уже на пикабу нормально ответили — что это вполне нормальное явление, которое не передает данные полей ввода, контролирует, чтобы отчеты шли через wifi и много другое, а так же соответсвует даже европейскому GDPR. Может все таки стоит больше изучать техническую часть, а делать желтые заголовки и громкие заявления.
Кстати их прилождение одно из лучших в категории «Еда» — я их за последнее время десятки изучил.
appsee — нужен для улучшения приложения, неужели Вы этого не понимаете?lightman
12.07.2018 10:36+1Не знаю, чем оно лучшее, оно глючное. Грузится долго, часть товаров вообще не даёт добавить в корзину (кнопка обавления неактивна).
Gorniv
12.07.2018 10:38-1с точки зрения функциональности и подхода формирования заказа. Про стабильность ничего не могу сказать…
Yarriks
12.07.2018 14:09Так глючит-то его как раз из-за апси. Представляете, как он нагружает смартфон? Плюс ещё и трафик дико жрет. На своем приложении использовали по мере необходимости. Но отвал пользователей был адовый. Сейчас ребята российские похожий сервис двигают. Обещают, что влияние на работу смартфона минимальное. Будем тестить.
wlr398
12.07.2018 11:05Только та же телеметрия в вебе приводит к массовой переделке сайтов в вид с 3 огромными словами и одной картинкой на весь многодюймовый монитор и необходимостью постоянно скролить. Не видно то есть никакого улучшения, видно какой-то ужасный идиотизм.
Vilgelm
12.07.2018 11:22Три огромные слова и картинка появились не из-за телеметрии, а из-за роста мобильного трафика, где это действительно выглядит в тему. И когда это лендинг, на котором минимум информации, то все хорошо и красиво. Проблемой это становится тогда, когда сайт где много контента делают в таком виде. Но увы, на мобильных иначе читать сложно.
wlr398
12.07.2018 12:26Так делают же отдельные версии сайтов под мобильные браузеры. Зачем заставлять людей на десктопах видеть 3 слова и картинку на мониторе 27 дюймов фулл-хд?
Тот же вопрос банкам с таким же дизайном. Банки часто предлагают под смартфоны свои приложения и скорее всего мало кто будет уродоваться на смартфоне через браузер.Hardcoin
12.07.2018 16:52Банки приложения, конечно, предлагают. Но к остальным сайтам это имеет мало отношения. Глупо писать приложение, если не осилил мобильную версию — люди не будут ставить тысячу приложений, а значит небольшой сайт просто потеряет аудиторию. Разумнее уж мобильную версию допилить.
Vilgelm
12.07.2018 17:11Потому что доля мобильного трафика больше половины, а разработка и поддержка двух версий стоит денег.
fennikami Автор
12.07.2018 11:19Вам уже на пикабу нормально ответили — что это вполне нормальное явление, которое не передает данные полей ввода, контролирует, чтобы отчеты шли через wifi и много другое
Давайте по пунктам:
1. Данные полей не передаются только если отдельно указать что вот мол этот и этот TextField — Sensitive View. Там нет магии которая чудным образом узнает где же тут приватные поля и цензурит их.
2. Приложение BK не отдает информацию о подключении к WiFi / Cellular, а значит — не может контролировать это.
3. Про GDPR отвечу свои комментом выше:
Что же вы этот GDPR суете везде?
GDPR — глупый закон, который сам по себе ну никак не помогает в privacy regain, и это не показатель.
И напоследок:
Кстати их прилождение одно из лучших в категории «Еда»
Кстати, этот коммент совсем не рекламный!Gorniv
12.07.2018 11:25давайте по пунктам:
1. можно увидеть видео с пруфом что парметр не стоит?
2. не берусь судить, надеюсь тут найдутся люди, кто сможет подтвердить или опровергнуть.
3. GDPR — это ппц какое количество правил и указаний по защите персональных данных пользоавтеля — так что это показатель.
4. про оценку приложения — это мое личное мнение, как человека, который много исследует приложения в категории «Еда» на предмет фишечек и функционала. К бургер кингу я не имею ни какого отношения( я fullstack разработчик в «Европлан»- это лизинг)
Пока ваша статья выглядит — как победа параноика над здравым смыслом и желание пиара.Fracta1L
12.07.2018 11:36GDPR — это ппц какое количество правил и указаний по защите персональных данных пользоавтеля — так что это показатель.
Ну и что толку, если соответствующее GDPR приложение пишет видео с экрана и отсылает левым людям?
kemko
12.07.2018 11:41GDPR — это ппц какое количество правил и указаний по защите персональных данных пользоавтеля — так что это показатель.
Я никогда не изучал этот момент, но подозреваю, что в России всегда были достаточно хорошие законы, защищающие окологосударственные БД. Как там сейчас, уже нельзя достать БД с паспортными данными граждан РФ?
Так и GDPR. Он говорит как надо защищать и как будут наказывать, если этого не делать. Но все всегда вольны не делать и, возможно, огрести по всей строгости закона.
ClearAirTurbulence
12.07.2018 11:451. можно увидеть видео с пруфом что парметр не стоит?
Таки логично запрашивать, наоборот, видео с пруфом, что он стоит.
И не только видео.Gorniv
12.07.2018 12:04+1Так может стоило им написать и дождаться ответа, а не поднимать шум с желтыми заголовками?
Sabubu
12.07.2018 11:49+2GDPR не глупый. Законодатель увидел, что компании не заинтересованы в охране персональных данных, что там начался дикий капитализм и пришел к выводу, что нужны юридические ограничения. С капиталистами по-другому никак.
jex
12.07.2018 17:10GDPR не глупый
Ага не глупый. Он создаёт огромные затраты индустрии на соответствие закону, который всё-равно не будет работать. Думаете компании действительно будут удалять информацию пользователей по запросу? Это просто очередной налог и рост бюрократии, который оплатит в итоге потребитель.
С капиталистами по-другому никак.
Ну вот такими статьями как эта можно воздействовать, создавать институт репутации. Зачем распильные законы плодить?Sabubu
12.07.2018 19:50+1Вы плохо понимаете закон. Суть закона очень проста: персональные данные принадлежат не тому, кто их собрал, а пользователю. И охраняются законом. Вот и все.
Если вы честный и порядочный бизнес, который уважает своего пользователя, то для вас с приходом закона скорее всего ничего не изменилось.
> Думаете компании действительно будут удалять информацию
думаю, крупные западные компании будут, так как Европа это не кучка аборигенов (или россиян), чье мнение можно проигнорировать.
> Он создаёт огромные затраты индустрии на соответствие закону
В чем затраты? Дописать код для замены по запросу в базе данных «Иванов Иван» на «Удален Удален»? Я уверен, что блестящие разработчики в IT-компаниях такую задачу за день максимум решат.
Расскажите мне про затраты.
Да, для кого-то, кто привык зарабатывать продажей персональных данных дата-брокерам, теперь стало труднее это делать. Пусть займутся чем-нибудь другим.
>, создавать институт репутации
Вот смотрите, у нас был период нерегулируемого оборота перс. данных, и к чему он привел? Только к утечкам, скандалам и злоупотреблениям. Где ваш институт репутации? Работает? Вы мне верующего напоминаете, а вместо слепой веры попробуйте посмотреть на нынешнюю ситуацию.
Нет. Потому нужно отрегулировать эту сферу законодательно, так как другие механизмы не работают и мы скатываемся в дикий капитализм. Я хочу, чтобы можно было пользоваться любыми современными сервисами, но не жертвовать своей приватностью и не пополнять чьи-то базы данных. Кроме государства, это никто не обеспечит.
GarudaJI
13.07.2018 13:14Мы удаляем, все полностью, даже обезличенный user_id и со своих партнеров контент провайдеров требуем удалять
ebragim
12.07.2018 15:16Данные полей не передаются только если отдельно указать что вот мол этот и этот TextField — Sensitive View.
Доказательства, что в приложении БК поля ввода ПД — не установлены как Sensitive View?
Приложение BK не отдает информацию о подключении к WiFi / Cellular, а значит — не может контролировать это.
Опять же, доказательства? Да и проверить это можно по маршруту легко, диапозоны ip провайдеров мобильного интернета известны давно и находятся в свободном доступе.
GDPR — глупый закон
Это отменяет необходимость его соблюдения, и соответствие ему предмета обсуждения? Или вы у нас поклонник подхода «мне не нравится этот закон, я не буду его соблюдать»?leesteeongoror
13.07.2018 13:02А на каком основании он должен доказывать, а вы не должны? Вы(вернее автор заглавного коммента) утверждали, что что-то есть, а автор стать то, что этого нет. Как минимум доказывать должны оба, а по правилам должны доказывать вы.
StallinHrusch
12.07.2018 15:352. чтобы контролировать подключение к WiFi / Cellular эту инфу как раз и не надо передавать. Приложение само (на стороне клиента) может узнать эту информацию от OS API и решить — передавать ли видос или нет. Так что тут все ровно
kemko
12.07.2018 11:37Всё это не должно работать на странице ввода чувствительных данных и точка.
Либо не записывать данные вообще, либо в какой-то момент заблюренные этим алгоритмом области могут научиться восстанавливать. А если это sdk не блюрит, а вырезает куски экрана с видео, то в какой-то момент может произойти ошибка и данные не будут вырезаны. Может даже ошибка не на стороне разработчиков sdk: телефонов на android куча, многие производители модифицируют ОС под себя и грабли могут оказаться там, где их не ожидали.
Sabubu
12.07.2018 11:52-1Это должно работать на специально нанятых людях-тестерах. Если приложение рекламирует себя как приложение для заказа бургеров, то оно этим и должно заниматься, а не записывать тайком видео с экрана.
Тестировать должны тестеры, а не случайные пользователи.
Есть такое понятие, как «expectation of privacy». Мы ожидаем, что когда мы смотрим каталог бургеров, никто не заглядываем нам в телефон через плечо.falstaf
12.07.2018 11:58-1Почему же тайком? В Terms of Use, которые необходимо принять для регистрации, всё это написано, что пользователь даёт согласие на сбор всевозможной статистической и аналитической информации (не содержащей персональных данных) всеми доступными способами, которые не противоречат действующему законодательству.
Я понимаю, что никто их не читает и все ставят галочку акцепта на автомате, но вот возмущаться потом из-за этого — как минимум странно.Sabubu
12.07.2018 13:13Это же типичная капиталистическая уловка: следить за людьми нельзя, а давайте пропишем это где-нибудь в глубине ToS, который никто не читает, и будем следить.
Нет, так не должно быть. Человек, пользуясь приложением, не ожидает, что кто-то будет стоять у него за плечом и смотреть в экран.
Представьте, если все начнут пользоваться такими уловками. Вы приходите к врачу, он вам говорит: вот дорогое лекарство, которое поможет вам в лечении. А в договоре мелкими буквами написано: согласно научным исследованиям, витамин C повышает сопротивляемость организма и повышает шанс выздоровления, потому вы согласны считать его лекарством. Вы приходите в автосалон, а там в договоре написано: предоплата в размере 30% не входит в стоимость машины, а лишь является оплатой работы по демонстрации автомобиля. Вы приходите в ресторан, а там в конце меню написано: «сделав заказ в нашем ресторане, вы соглашаетесь на пожизненную ежемесячную оплату в размере XXX р». Вы устраиваетесь на работу, а в внутреннем распорядке компании (нет, не в трудовом договоре) написано: «если работник не успел сделать задачу за отведенное руководителем время, для компенсации причиненного убытка следующие 12 месяцев он обязан работать по 12 часов в сутки. Работодатель имеет право менять Внутренний Порядок без предварительного уведомления».falstaf
12.07.2018 13:23Я всё равно не понимаю, в чём слежка-то заключается? Снимают не вас, снимают даже не экран устройства в целом, просто приложение записывает себя же, запись других приложений не ведётся.
Да и вообще, а если бы ваши действия в нём не записывались на видео а просто тщательно логировались в текстовом виде и отправлялись на сервер — вам было бы спокойнее?Fracta1L
12.07.2018 15:20+1Этот товарищ политрук вообще не про слежку тут речи толкает. А про то, что капитализм это плохо. А есть там слежка или нет её — это неважно, главное, что есть повод залезть на броневичок.
dom1n1k
12.07.2018 11:44Самое ненормальное во всем этом явлении то, что многие люди уже считают это нормальным. Ну подумаешь в спальню залезли… но это же поможет производителю кроватей улучшить свой продукт! Попутно поделившись данными о твоей частной жизни с парой десятков «партнеров».
oxyberg
12.07.2018 16:25В какую спальню?? Максимум залезли в камеры в своем же магазине, когда вы там были, и посмотрели, что там люди делают.
Welran
13.07.2018 15:34Только почему ваша спальня находится в здании бургер кинга, а люди из бургер кинга во время вашего отсутствия спокойно переделывают интерьер вашей спальни и вы совсем не против? :)
Sabubu
12.07.2018 11:47Чтобы улучшать приложение, необязательно использовать пользователей в качестве подопытных свинок. Можно нанять тестеров (например за бесплатный бургер) и тестировать на них.
areht
13.07.2018 07:44А вы приложение поставили не ради промокодов?
Sabubu
13.07.2018 17:49Даже если ради промокодов — пусть честно скажут, что они собирают в обмен на промокоды. Честная сделка происходит тогда, когда оба участника знают ее полные условия. А когда один участник обещает «бесплатные промокоды», и скрывает, что он заберет взамен — они находятся в неравных условиях.
areht
13.07.2018 18:11Чисто из любопытства, вы как себе это представляете?
Ну, например, ролик по телевизору
«Яндекс. Найдётся всё!
В обмен мы продаём вас рекламодателям, для чего собираем:
— ваши поисковые запросы
— видео с экрана
— …
— …
— …
— …
— …
[62 пункта вырезано]
— …
»
alnikor
13.07.2018 16:01+1А вот меня не устраивает сам факт записи действий.
И меня совершенно не должно волновать, что это «способ улучшить качество продукта», да е*** вы конём, вы с доходов улучшайте продукт.
Для меня это на уровне «мы улучшаем качество унитазов через видео записи из туалета, но не волнуйтесь, мы замажем ваш писюн». Вот по мне 1 в 1 ситуация.
pesh1983
13.07.2018 22:11+1Я могу написать приложение, которое будет снимать вас в туалете, при этом маскироваться под видеочат к примеру. Вы позволите себя снимать? Обещаю, оно будет лучшим в категории "извращения". А снимать оно будет естественно только для улучшения своей статистики) Поставите?)
nick0x01
12.07.2018 10:32Вы открыли для себя сервис сбора статистики для мобильных приложений. Установлен флаг DetectCrashes (обычно видео используется для выяснения, что привело к падению приложения). Полистав сайт, можно увидеть, в каких приложениях еще используется этот сервис.
видео записывается даже тогда, когда вы указываете данные своей банковской карты
Это действительно так?RoboForm
12.07.2018 10:37+1Нет, конечно. Просто пользователи Пикабу открыли для себя дивный мир мобильной аналитики.
dartraiden
12.07.2018 19:37+3Самое смешное, что это не заставит их перестать пользоваться мобильным приложением самого Пикабу, которое содержит:
— Google measurement
— Google Ads
— Appsflyer analytics/tracking
— Clevertap analytics/tracking
— io.branch.sdk metrics/analytics
— Yandex metrica/ads
— io.fabric.sdk metrics/analytics
— сервис аналитики самого Пикабу
— Google login (GooglePlus login)
— Twitter login
— Facebook login
— VK login
— Crashlytics
Последние пункты делают хоть что-то полезное, а остальное нужно лишь для анализа поведения пользователя и показа рекламы. Но поста про это на самом Пикабу никогда не будет, верно?nidalee
12.07.2018 22:37А если копнуть в настройки приватности гугла и вообще в его сервисы на Android, то придется переходить на кнопочные телефоны 2000х годов… У большей части юзеров пишется история передвижений, интересно, как они на это отреагируют?
BeppeGrillo
13.07.2018 13:16Я вам щас открою страаааашную тайну.
Есть Андройд смартфоны на чистом AOSP которые за тобой не следят.falstaf
13.07.2018 13:21Ничего подобного. Возьмите билд андроида, запустите на qemu каком-нибудь и посмотрите трафик.
BeppeGrillo
13.07.2018 16:36В чистом андройде нет google api и он ничего не отправляет.
JC_IIB
13.07.2018 16:43Учитывая то, кто у нас вендор Андроида, ваше утверждение выглядит крайне сомнительно.
BeppeGrillo
13.07.2018 17:47-1О, анаэробная форма жизни, давно не виделись!
На вашей планете что, и Андроид другой?
Если серьёзно, в чистом Андроиде нету 3 китов гугла: Market, Services и API, по сути без них Андроид с Гуглом не связан вообще никак.
Ещё можете посмотреть на replicant.us
fennikami Автор
12.07.2018 11:09-1обычно видео используется для выяснения, что привело к падению приложения
Видео прямым потоком лилось на сервак AppSee, только вот приложение у меня ни разу не падало.xor_magic
12.07.2018 12:41+1Хотелось поинтересоваться, как вы предскажете краш вашего приложения и за несколько секунд до этого начнете запись экрана? Скорее всего все происходит в онлайне по вполне конкретным причинам. Я за privacy и все такое, но тут обычный хайп, как было недавно с efail.
BingoBongo
12.07.2018 13:18Хотелось поинтересоваться, как вы предскажете краш вашего приложения и за несколько секунд до этого начнете запись экрана?
Писать видео всегда, но отправлять только небольшой кусок до момента краша при повторном запуске приложения.xor_magic
12.07.2018 13:38Насколько такой кусок должен быть небольшим и как вычислить его продолжительность? Ведь бывают совсем неочевидные баги. То, что вы сделали 1000 раз, может не завестись на 1001.
xor_magic
12.07.2018 13:50К тому же, тут уже ответили, что это так же может быть полезно для улучшения UI/UX.
BingoBongo
12.07.2018 14:16В том и дело, основная цель AppSee — это обратная связь для улучшения интерфейса. Именно поэтому, с точки зрения AppSe, видео резать нет смысла — для анализа нужны все действия пользователя, начиная от первого запуска приложения. Не понимаю, как получилось, что во многих комментариях в этой теме разговор перетек в отлавливание багов, т.к. это уже дополнительная фича, которая скорее случайно поддерживается просто потому что реализация основной цели сервиса AppSee уже предоставила весь функционал.
xor_magic
12.07.2018 14:25Я привел пример краша, потому что автор говорит о записываемом видео. На сайте appsee говорится, что видео используется для краш репортинга. Поправьте, пожалуйста, если я не прав.
BingoBongo
12.07.2018 14:39Если посмотреть видео с главной страницы youtu.be/QY2yCRnWx-A, то я бы его больше проинтерпретировал так: «AppSee помогает вам отследить поведение пользователей, и найти слабые места в интерфейсе вашего приложения. В том числе вы можете отслеживать краши». Просто я не понимаю, как может взлететь сервис, который занимается крашами — потому что тут ничего инновационного нету, с багами все бороться давно умеют, а вот анализ интерфейса — это другое дело, такого мир мобильных приложений, по-моему, еще не видел. Я веду к тому, что основная цель AppSee все таки нахождение слабых мест в интерфейсе, а не помощь в дебаггинге.
asaks
12.07.2018 13:29Например, как это сделано в камерах видеонаблюдения. Существует буфер предзаписи, и если что-то случается, то видео пишется на диск. Так и тут модно что-то подобное реализовать и отсылать видео непосредственно с крашем приложения.
А вообще, ИМХО, слать в прямом эфире видео и ни слова про это видео не говорить это не есть хорошо. Если надо постоянно следить за приложением, то как уже выше говорили, нанимайте тестеров и давайте им отдельное приложение, а не тратьте трафик пользователей, которые на это не соглашались.
falstaf
12.07.2018 13:31+1пользователей, которые на это не соглашались
Ну вообще-то соглашались, подтверждая при регистрации прочтение и полное согласие с terms of use, где всё это упоминается.opckSheff
12.07.2018 14:09+2Да пошли вы нахрен со своими terms of use и privacy policy, это уже реально смешно, хватит защищать подобные вещи! Вы сами-то внимательно читаете все до одного terms of use приложений и сервисов, которые используете? А если в terms of use будет написано «Нажимая Продолжить вы соглашаетесь пожертвовать своё правое яичко обществу борьбы с социальным неравенством» — вы тоже будете радостно хавать это и говорить «Ну что же, это ведь для борьбы с социальным неравенством, да и в terms of use прописано!»?
Любой подлости или злодеянию можно найти оправдание. Всякие там метрики и поиск багов меня как пользователя не интересуют, а вот слежение, даже оговоренное в terms of use, не очень. Цитата из «Незнайки на луне» хорошо подходит: «Какая мне разница, как меня обворуют, по закону или не по закону?»unlor
12.07.2018 14:22Не забывайте также, что за вами следят:
— десятки видеокамер стационарного видеонаблюдения
— сотни видеорегистраторов
— Крупные магазины (тем боле те, в которых используете дисконтную карту)
— Браузеры/поисковые системы/провайдеры
— мобильные операторы
— утка (в случае, если у вас анатидаефобия)
— госстуктуры (ГИБДД, таможя, налоговая, военкоматы)opckSheff
12.07.2018 14:38И что? Поймите одну вещь, даже если что-то происходит, происходит постоянно, происходит неизбежно и происходит по закону — это не говорит о том, что это норма. Избитый пример, но всё же упомяну — евреев в Третьем рейхе тоже по закону сжигали.
unlor
12.07.2018 15:08Избитый. Очень. Я понимаю, что любая дискуссия сводится в конце концов к Гитлеру, но все же не нужно приравнивать написанное выше к Холокосту. Различайте понятия слежки за поведением абстрактного пользователя и слежки за каждым конкретным человеком.
И да, тогда уже и избитая мысль с моей стороны — если вам не нравится закон — это повод попробовать изменить закон. А не устраивать луддизм.Hardcoin
12.07.2018 16:49Слежка за поведением абстрактного пользователя — это так же отвратительно. От того, что там прописано в законе, это не становится хорошим действием. В законах пока не пишут, что исполнять их нужно с энтузиазмом или что с законом нужно внутренне соглашаться. Почему лично вам слежка нравится и вы её защищаете, не ясно. Дело ваше, но другим она нравиться не обязана.
unlor
12.07.2018 17:00Не защищаю, а пытаюсь объяснить, зачем это делается и где это происходит. Судя по ажиотажу значительная часть присутствующих в треде имеют очень смутное представление об аналитике вообще и ее методах в частности.
И позвольте мне самому решать, что мое дело, а что нет.Hardcoin
12.07.2018 17:03Конечно позволяю. Так и написал, ваше отношение к слежке — дело ваше, вам решать. Люди, даже если и не очень технически подкованы, просто хотят, что бы за ними меньше следили. Хоть по закону, хоть без. Вполне понятное желание.
unlor
12.07.2018 17:12Хотят. И оставляют терабайты информации в соцсетях :)
Люди — странные животныеHardcoin
12.07.2018 17:59Ничего странного. Оставляют по собственному желанию. А скрытый сбор — он скрытый. Вполне логично и естественно иметь возможность рассказать о себе то, что хочешь (в т.ч. и в соцсетях), но при этом что бы скрыто ничего не собиралось.
falstaf
12.07.2018 14:29Вы сами-то внимательно читаете все до одного terms of use приложений и сервисов, которые используете?
Честно говоря, нет. Но и возмущаться не буду, если вдруг окажется, что из-за своей же лени я упустил что-то важное в этих самых terms of use.
А если в terms of use будет написано «Нажимая Продолжить вы соглашаетесь пожертвовать своё правое яичко обществу борьбы с социальным неравенством»
То этот пункт будет противоречить действующему законодательству и поэтому будет признан недействительным.
а вот слежение, даже оговоренное в terms of use
Тут в комментариях многие уже писали про нарушение приватности и слежку, но никто так и не смог ответить на простой вопрос: в чём заключается-то это самое нарушение приватности пользователя и слежка за ним в целом, ведь приложение снимает свой же собственный экран, записи других приложений не ведёт, равно как попыток записать пользователя через фронтальную камеру. Или для вас слежка — любая фиксация приложением действий пользователя в нём? В таком случае непонятно, почему же текстовое логирование каждого действия пользователя в приложении не вызывает подобного ажиотажа.opckSheff
12.07.2018 14:42Что значит «противоречить действующему законодательству»? Где-то в законодательстве прописан запрет на пожертвование яичек? Ладно, это шутейки всё и приписано только для демонстрации абсурдности ситуации, но в действительности в Terms of use может быть прописано и что-то не противоречащее законодательству, но для вас крайне неприятное, уж поверьте, фантазии юристов нет предела.
А кто сказал, что текстовое логирование каждого действия пользователя в приложении не вызывает ажиотажа? Если приложение без моего ведома что-то пишет и что-то куда-то шлёт — я буду возмущаться точно так же. Я совершенно не против багрепортов и отлично понимаю их полезность, но как-то привык к тому, чтобы приложение спрашивало меня перед тем, как их куда-то отправлять.falstaf
12.07.2018 14:50Если приложение без моего ведома что-то пишет и что-то куда-то шлёт — я буду возмущаться точно так же
С таким подходом вам не стоит пользоваться никакими мобильными приложениями, да и смартфонами тоже. И десктопными ОС также. Ведь все они что-то постоянно логируют и отсылают без вашего ведома.nafikovr
12.07.2018 16:23с таким подходом ни стоит пользоваться телефоном как и любым другим средством связи. все же пишется и по закону.
Sabubu
12.07.2018 20:03> То этот пункт будет противоречить действующему законодательству и поэтому будет признан недействительным.
ну хорошо, пусть там будет пункт о пожизненной неотзываемой ежемесячной плате в размере 100 долларов. Если вам не нравится — не устанавливайте приложение, а раз установили — надо платить.
vlivyur
12.07.2018 17:20burgerking.ru/legal_for_app
Хрентатам. Тут нет такого. Если, конечно, это не написано в п.8.1 (может быть это «иные технические данные, необходимые для улучшения функционала и работоспособности Приложения»), но я не смог расшифровать его.
П.2.5 фееричен. Особенно в последнем предложении. Ну и специально для TS'а добавлен раздел 4, который он нарушил почти по всем пунктам.falstaf
12.07.2018 17:35Именно 8.1 я и имел в виду, да.
vlivyur
12.07.2018 18:10Но там ни слова про запись экрана.
falstaf
12.07.2018 18:33Ну вы же сами процитировали: «иные технические данные, необходимые для улучшения функционала и работоспособности Приложения». Не думаю, что там нужен отдельный пункт именно про запись экрана, если пользователь уже согласился с тем, что приложение будет собирать любые «иные технические данные».
plMex
12.07.2018 19:42+3… а так же про то, что оно может взломать ваш домашний роутер, подключиться к вашей веб-камере и смотреть как вы с женой занимаетесь сексом, чтобы сразу после окончания прислать вам рекламу нового бургера: «Кончил? Подкрепись!».
Нет, ну а что, вы же «уже согласился с тем, что приложение будет собирать любые «иные технические данные».
Я, разумеется, адски утрирую, но мысль улавливаете?.. „Иные технические данные“ и „иные методы сбора информации“ — не синонимы.
Chamie
12.07.2018 20:44необходимые для улучшения функционала и работоспособности Приложения
А необходимость они смогут доказать? В прямом смысле — что без этих данных приложение улучшать невозможно?
vlivyur
13.07.2018 13:06Технические данные это, к примеру, разрешение и размер экрана, ЦПУ, об'ём памяти, модель телефона. Но никак не поведение пользователя.
Sabubu
12.07.2018 19:56+1Надо просто при установке приложение спросить разрешение пользователя на видеозапись экрана. Откажется — значит, пусть не обижается, если его баг будет расследоваться дольше или вообще не будет исправлен.
А теперь подумайте, почему компании так не делают.
3amynoK
12.07.2018 13:39Видео действительно отсылается даже без креша (iOS). Я установил приложение с нуля и сразу стал снифферить. У меня есть теория что это потому, что я долго оставался на форме ввода данных карты, аналитика помогает еще найти «сложные» места в интерфейсе или те же баги UI когда кнопка неактивна или ввод невозможен (клавиатура спрятала поля а скрола нет).
norlin
12.07.2018 10:33+1В тегах упомянута iOS, но насколько я знаю, там такое в принципе невозможно (запись всего экрана). Впрочем, возможно, приложение может делать снимки самого себя, но и то не факт.
Gentlee
12.07.2018 10:55-3Не пойму, как вообще можно пользоваться ОС с такими дырами в безопасности? Еще при этом и нахваливать. Каждое приложение запрашивает все что можно при установке, и потом делает все что вздумается. А если ты не согласен — сиди вообще без приложений. Я конечно про андроид.
nafgne
12.07.2018 11:21Потому что модель полномочий в андроиде — говнище, и с каждым обновлением гугл ещё больше её уродует, вместо расширения набора разрешений добавляя неочевидные функции существующим. Например, для поиска Bluetooth устройств теперь нужно запросить разрешение на геолокацию.
falstaf
12.07.2018 11:25Каждое приложение запрашивает все что можно при установке, и потом делает все что вздумается.
Разрешения уже давно не принимаются пользователем при установке приложения, сейчас в андроиде модель динамических разрешений, которые в любой момент можно предоставить или отозвать.Gentlee
12.07.2018 11:36Вы вообще андроидом то пользуетесь? Самые популярные приложения запрашивают как можно больше как раз при установке.
Более того, пользователей бургер кинга система спросила можно ли записывать видео экрана этому приложению?falstaf
12.07.2018 11:43Мало того, что пользуюсь, так ещё и активно разрабатываю под него.
Повторюсь, уже как несколько лет разрешения не запрашиваются при установке, начиная с 6 версии андроида. Если по каким-то причинам на каком-то девайсе до сих пор стоит версия ниже шестой — проблемы конкретного девайса, а не платформы в целом.Gentlee
12.07.2018 19:27-4Вы даже ответить толком на вопрос не можете, о чем тут говорить. В который раз убеждаюсь, на хабре большинство людей — мягко говоря не слишком сообразительные минусаторы, которые вообще мало в чем соображают.
Во первых, это зависит не только от версии андроида, но и от версии sdk — если приложение использует старую, то будет запрашивать все при установке (запретят эту версию сдк только через месяц, и то посмотрим). И никто не гарантирует что оно будет работать без разрешений, если все таки потом запретить. Более того, многие приложения с отключенными разрешениями тупо будут показывать вам экран что нужно их включить, в гугл плее за такое не банят.
Во вторых, все таки ответьте на вопрос: как мне отключить возможность снимать видео экрана? Андроид 8.1.0.falstaf
12.07.2018 19:32+1Во вторых, все таки ответьте на вопрос: как мне отключить возможность снимать видео экрана
Естественно никак. Подумайте сами, как вы можете запретить приложению получить доступ к своему же графическому контексту, к своим же views? А экраны других приложений оно и не записывает, да и не смогло бы, к слову.Gentlee
12.07.2018 21:59О том и речь что не все вы контролируете, а вещь все таки важная — данные карты вводите (про то что они не отсылаются это вопрос поставленной галочки на сайте appsee и при условии безглючной его работы). По идее приложение должно запрашивать разрешение на такую съемку, и если пользователь не согласен то не снимать. Так что тут проблема не только в ОС (см мой первый пункт), но и в порядочности разработчика. А так как многого ждать от них не стоит, то даже скорей законодательства.
stychos
12.07.2018 23:29Боже, как вы вообще пользуетесь чужими приложениями?! — они же выполняют свои инструкции на вашем личном процессоре, и имеют непосредственный доступ к вашей оперативной памяти!
ClearAirTurbulence
12.07.2018 11:51+2На свежих андроидах можно в любой момент отключить кому угодно какое угодно разрешение. Более того, у меня на телефоне я могу настроить уведомление о том, что такая-то программа использует то или иное разрешение, что помогает понять легитимность использования, скажем, камеры или микрофона.
Mike_soft
12.07.2018 12:19+1Научите, плз. можно в личку.
ClearAirTurbulence
13.07.2018 09:38+2На моем СГС8* с Android 8 это делается так:
Забиваете в настройках в поиск «permission» (можно найти в меню, но через поиск мне проще).
Выбираете App permission monitor.
Если выключен — включаете.
В списке приложений отмечаете те, за которыми нужен присмотр, если же кликнуть не на переключатель, а на само приложение, можно селективно отмечать разрешения.
В результате при использовании этого разрешения в нотификациях появляется строка «Приложение Х замечено в использовании камеры\микрофона\нужное подчеркнуть».
Отмечу, что это именно уведомление, т.е. запрета не происходит. Если нужно запретить, можно идти в настройках в App permissions, выбрать нужное разрешение, и в списке приложений, его запросивших, его отключить.
* Возможно, в чистом андроиде это может называться как-то по-другому.
Aquahawk
12.07.2018 12:29+1Тоже попрошу вас поделиться. Переезжаю тут на андроид. И ещё вопрос, часто приложени отказываются работать или падают без разрешения. Почему никто не сделал модель shadow разрешений? чтобы приложение думало что разрешение есть и например видело пусто контакт лист или с левыми данными, и работало как и раньше ничего не подозревая.
springimport
12.07.2018 16:23Недавно писали про такое, по моему, XPrivacy (подставные контакты и т.д.). В итоге гугл удалил из стора.
Aquahawk
13.07.2018 11:29Во, это то что я искал. Много глюков но это достаточная тема для гугления. Спасибо.
plMex
12.07.2018 17:22Поищите по запросу «miui второе пространство», правда это работает «из коробки» только на смартфонах Xiaomi с MIUI, а они сами — те ещё следаки за пользователем (по слухам и кредитки «анализировать» не стесняются).
nidalee
12.07.2018 22:42Многие приложения будут угрожать при этом перестать работать, некоторые — будут реально переставать. Потому что (предположительно, я в этом вообще 0) — кодят под старые версии системы, где разрешения ставить нельзя и приложения могут все и сразу, даже то, чем не пользуются в принципе.
Bringoff
12.07.2018 17:08Самые популярные приложения запрашивают как можно больше как раз при установке.
Ну, вот что я разрешил приложению Facebook:
Украинский на скриншоте, но все должно быть ясноvikarti
12.07.2018 16:42Скажите это разработчикам Мой МТС
Да, динамическая модель. Только вот все что потенциально может потребоватся (кроме СМС) — требуют при старте. Если не давать — требуют по новой. Если сказать что не дашь (галочка не спрашивать) — предложат разрешить в настройках или переустановить приложение.
На голом нерутованном андроиде — решения нет.
У (например) Wilefox есть возможность штатно включить 'т.н. защищенный режим' для особо наглых приложений — приложение получит свои данные которые так хочет. Только вот их реальность — вопрос отдельный. Для рутованных девайсов есть аналогичные средства.falstaf
12.07.2018 16:50Да я же не спорю, что любую концепцию можно изуродовать и сделать неудобной для пользователя. Мой изначальный комментарий был ответом на «Потому что модель полномочий в андроиде — говнище, и с каждым обновлением гугл ещё больше её уродует», а описанный вами пример — всё же неверное понимание и использование модели динамических разрешений разработчиками МТС, а не проблема платформы в целом.
Aquahawk
13.07.2018 11:33Они как раз всё хорошо понимают. И требуют права чтобы получить от вас нужную им информацию шантажируя вас непредоставлением функционала
fennikami Автор
12.07.2018 11:09Приложение может писать все внутри себя.
trimtomato
12.07.2018 11:46Вы можете прямо написать приложение для какой платформы вы анализировали для статьи?
Vilgelm
12.07.2018 11:24Возможно, в игре Asphalt 8 есть функция записи экрана, причем ее можно поставить в автоматический режим, когда пишется все автоматом.
aobondar
12.07.2018 12:04да, так и есть внутри либы appsee по таймеру делает скрины основного экрана. Никакой записи видео в классическом понимании там не происходит
Superl3n1n
12.07.2018 10:33+1Так если адрес куда загружать файл известен (правда в статье полной ссылки нету). Так может загрузить им туда 10 часовое видео с котиками и т.п., на что хватит фантазии. А они уже пускай разбираются.
Barsuk
12.07.2018 10:40Взять реальную служебную инфу, а видео подсунуть у кого на что фантазии хватит.
Arik
12.07.2018 10:47+1Зачем котиков? лучше какого запрещенного материала, а потом статью написать что случайно нашел Детская порнография на сервере Первого канала
aamonster
12.07.2018 11:02Очевидно, что никто не смотрит эти видео: дорогое удовольствие — нанимать людей для просмотра многих часов тыкания юзеров в экран.
В теории — оно может понадобиться только для того, чтобы в случае бага отследить последовательность действий юзера, приводящую к нему. Но, опять же, бессмысленно писать видео всегда — так что я предположил бы, что если у автора статьи запись/отсылка действительно идёт постоянно — то это или баг в приложении, или он что-то сломал (например, экспериментируя с приходящим с сервера конфигом).
На практике — лучше такого не делать, чтобы не нервировать юзеров :-). В смысле, если и предусмотреть запись экрана — то чтобы юзер сам давал команду на это, это успокаивает нервы :-D
fennikami Автор
12.07.2018 11:10Я не ломал ничего и трафик не менял.
aamonster
12.07.2018 11:16Ok, значит, баг. Интересно, воспроизводится ли он у других пользователей. И что стало его причиной.
Я бы на вашем месте написал багрепорт и БургерКингу, и АппСи. А как временное решение, пока не разберутся и не починят — заблокировал бы на всякий случай их домен через hosts (ну, это для андроид). Или как постоянное, просто на всякий случай =). Хотя, конечно, от выжирания батарейки это не спасёт.fennikami Автор
12.07.2018 11:21-1Я как пользователь не обязан этим заниматься. Максимальная длинна видео выставлена в бесконечность, и это вот ни разу не баг.
aamonster
12.07.2018 11:23Ну, вы не обязаны и трафик исследовать, и много что ещё =). Однако вы это сделали, и логично довести дело до конца — чтобы у других юзеров не писалось видео, не жралась батарейка и т.п.
Tihon_V
12.07.2018 12:04PurpleTentacle
12.07.2018 13:03Шикарно! К 42 я бы добавил ещё несколько итераций архивирования, чтобы для распаковки не хватило бы даже атомов во вселенной :)))
hrumbumbes
12.07.2018 10:38-1Обычная аналитика, которая существует уже не первые годы на рынке (та же Appsee). Многие компании это применяют. В чем паника, если поставщик услуг и так знает все ваши данные, а дальше «окна» приложения аналитика писать не может, ввиду отсутствие прав со стороны системы? Какая-то неделя «открытий» на хабре началась.
swordman-sib
12.07.2018 10:39+2Вот так выглядит само видео
Вернее было бы сказать, что так выглядит скриншот видео. Если мне не изменяет память, то согласно документации Appsee, поля ввода в конечном виде будут скрыты. Более того, запустить приложение без этого параметра просто не получится.
А то, что отсылает телеметрию — это обычная практика. Вот только не в Full HD и даже не в 720p@30 FPS. На таком кодировании смартфон бы завис или перегрелся. В общем, советую автору не искать заговора там, где его нет. И почитать о телеметрии в Windows 10, например — если это не отобьёт у него желание выходить в интернет, то хоть по матчасти подтянет.hMartin
12.07.2018 11:10Не представляю как их порвет, когда они узнают, что поисковики записывают историю поиска.
На гуглосторе даже устроили набег в комментарии бургеркинга. Запись видео их гастрономических предпочтений, как так можно вообще, что за киберпанк
plMex
12.07.2018 11:26Если мне не изменяет память, то согласно документации Appsee, поля ввода в конечном виде будут скрыты.
Или не будут. На скриншоте не скрыто.
Вряд ли оно скрывается на лету сразу на телефоне, а если они делают это у себя на серверах, т.е. получают видео в нормальном режиме, а потом происходит постобработка, то где гарантия что какой-нибудь программист, недовольный своей зарплатой, не пошаманит немного на сервере видеообработки чтобы оттуда предварительно вырезались номера кредитных карт, например? Ну и MITM, судя по статье, прекрасно работает с их статистикой.mayorovp
12.07.2018 12:26Для MITM злоумышленнику нужно сначала свой корневой сертификат установить на телефон пользователя…
Sabubu
12.07.2018 12:01+3То, что обычная практика, это не значит, что так должно быть.
Приложение рекламирует себя как приложение для заказа еды, а не для участия в экспериментах в качестве подопытной свинки.
Если они хотят тестировать приложение, пусть нанимают тестеров.
Идеи вроде набегов на гуглстор поддерживаю. Пусть другие пользователи хотя бы правду узнают, может быть это уменьшит число пользователей и как следствие уменьшит число случаев нарушения приватности. А компанию заставит задуматься об этичности своего поведения.falstaf
12.07.2018 12:04-1Пусть другие пользователи хотя бы правду узнают
Гм, какую правду? Это всё в Terms of Use написано и ни от кого не скрывается.Sabubu
12.07.2018 13:20Подумайте, почему это написано размытым языком где-то в глубине занудного документа, который никто не читает, а не например в рекламе приложения: «новая возможность! теперь мы будем следить за вами!». Почему в Гугл Плей не написано большими буквами про это?
Потому что это типичная капиталистическая уловка — вроде как и сказать правду, но так, что никто про эту особенность не узнает. Раньше банки, например, так писали условия кредита, чтобы невозможно было без компьютера под рукой понять, сколько придется платить, потом законодатель их прижал и заставил писать окончательную сумму выплат.
Я тут уже написал, что будет, если все будут брать пример с IT компаний: habr.com/post/416919/#comment_18874353hatari90
12.07.2018 14:14Раньше банки, например, так писали условия кредита, чтобы невозможно было без компьютера под рукой понять, сколько придется платить, потом законодатель их прижал и заставил писать окончательную сумму выплат.
Это да. С июня этого года теперь и в денежном выражении должны писать за весь срок кредита, до этого было только требование писать ставку в годовом выражении с учетом всех выплат.vikarti
12.07.2018 16:49У Альфа-банка и в 2018 считается нормальным:
— дать 3 листа где разные проценты и суммы минплатежей, на вопрос как понимать — говорят что это общие правила и вас касается вот этот лист (но подпишите все)
— сказать что кредитке где 100 дней льготный период он не совсем льготный — первые месяцы — 0.84% в месяц (страховка).
— в ответ на вопрос что будет если в заявлении про страховку поставить галочку в поле НЕ соглашаюсь (там есть такая) — ответ операциониста что система не примет а отменить можно не раньше чем через 90 дней (по телефону все отключили)
AlexRed
12.07.2018 11:06Запись экрана — вполне официальная фича www.appsee.com/features/user-recordings
Добро пожаловать в суровую действительность.
p.s. Соответствие GDPR — www.appsee.com/gdprfennikami Автор
12.07.2018 11:11А отсутствие конфигурации Sensitive Views — Вас не смущает? :)
JC_IIB
12.07.2018 11:17Ну, лично меня смущает отсутствие видео. Автор, тебя могут слить, вон первые минусы уже пошли. Сложно сделать 100%-ное доказательство?
AlexRed
12.07.2018 11:21Да ну на сайте аналитической компании написано все — пишут они видео, но ПДн не собирают (по крайней мере официально)
fennikami Автор
12.07.2018 11:23-3Так а чем видео Вам поможет? Для меня не проблема записать его (если БК к тому времени не отключит апси у себя), но чем оно поможет если на сайте AS указано, что оно записывает.
Автор, тебя могут слить, вон первые минусы уже пошли.
Ну, пусть сливают. Моё дело — донести до общественности.JC_IIB
12.07.2018 11:35+2Для меня не проблема записать его
Это утверждение выглядит странно, учитывая, сколько раз его у вас просили.
Моё дело — донести до общественности.
Что именно донести? Железных пруфов ваших слов — нет, статья выглядит подозрительно.u4b
12.07.2018 12:53Ссылка на видео. Ой вот только тут, кажется, наоборот поля ввода замазаны. Ну ничего, надеюсь, автор скоро предоставит свою версию.
winox
12.07.2018 16:54Автор, я тебя еще на Пика*у просил сделать видео, просили и другие люди. Тебе его сделать не проблема, но видео всё нет и нет. Выглядит подозрительно, ты так не считаешь?
nikolaenkoev
12.07.2018 11:11Как-то пробовал заказать через это приложение поесть, но в итоге сняли рубль и не вернули (для привязки карты)
Да и если не ошибаюсь, там CVV даже звездочками не помечается, а виден явноplanc
12.07.2018 12:44мне aws доллар вернул через 3 месяца вроде на виртуальную карту яндекса
nikolaenkoev
12.07.2018 12:49Я не стал заморачиваться, и писать им по этому поводу.
Но если они каждому, кто привязывает свою карту в приложении, не будут возвращать 1 рубль, то дополнительная прибыль будет неплохая
AlexRed
12.07.2018 13:44если CVV не закрывается звездочкой, то это нарушение PCI DSS — им бы никто не разрешил проводить платежи онлайн
nikolaenkoev
12.07.2018 13:51Приложение, к сожалению, уже удалил, проверить нет возможности. Писал по памяти, вероятно перепутал с Аliexpress, там код безопасности не закрывается звездочками.
FrankSinatra
12.07.2018 11:28Зачем разгонять новость о сборе аналитики мобильным приложением? Дешевая популярность и внимание. Вы бы хоть прочли про Appsee и зачем он нужен.
Год назад еще про него писали статьи другие параноики:
«Через сервис статистики AppSee уводились номера российских банковских карт.»
news.rambler.ru/internet/36063287Astus
12.07.2018 11:59-1Как зачем, чтобы в личном бложике написать «Первая реакция СМИ на моё исследование» и т.д.
Sabubu
12.07.2018 12:04+1А почему вас так беспокоит популярность автора, а не нарушение ожиданий пользователя? Вы случайно не в сервисе аналитики работаете?
Astus
12.07.2018 12:13+3Не то, чтобы беспокоит, но тут мне видится, что желание популярности у автора бежит впереди желания вдумчивого изучения вопроса. И ссылка «Связь со мной для журналистов» это только подтверждает.
По Вашему, все, кто критикуют пост — случайно работают в сервисе аналитики? Отличная логика, да. Хоть это и глупо, но отвечу — нет, не работаю, не работал и знакомых там тоже нет.
FrankSinatra
12.07.2018 12:14+3Меня беспокоит только человеческое невежество, которое порождает панику. Appsee появились на рынке в 2012 году, причем открыто заявили о своих фичах, но до сих пор находятся люди «уличающие» их в воровстве персональных данных. Наверное это заговор, что они 6 лет собирают статистику и их еще не прикрыли.
Причем в интервью Цахи Боуссиба открыто заявлял о фичах.
apptractor.ru/measure/user-analytics/zahi-boussiba-appsee-interview.htmlSabubu
12.07.2018 12:46Если они появились 6 лет назад, то к ним должно быть какое-то особое отношение? Не понимаю.
Одно дело — презентация для специалистов отрасли, другое дело понятное простому пользователю объяснение.
Вот смотрите, фейсбук тоже ведь ссылался на всякие документы, мол мы давно работаем и всех все устраивает, а как оказалось, что он может быть причастен к влиянию на выборы, законодатели его прижали, так сразу запел по-другому: мы и доступ закроем, и проверим другие приложения, и интерфейс улучшим. Капиталисты, увы, кроме государственного кулака, другого языка не понимают.Source
12.07.2018 13:50Не волнуйтесь, фейсбук тоже за вами следит и будет следить, как бы его ни прижимали. А если б вы знали как следят Google, Apple и MS, вообще давно бы от смартфонов отказались xD
FrankSinatra
12.07.2018 13:58Нет это всего лишь говорит, что они 6 лет работают на рынке Америки и Европы и ни у кого к ним не возникло серьезных вопросов. Пример с фейсбуком тут причем? Это политическое разбирательство, а не нарушение каких-то законов. И человек, которого вы защищаете пока что не предоставил фактов передачи видео на сторону, но нагнал пурги, которую понесли все СМИ без понимания, что они даже сообщают, в итоге паника посеяна из-за одного некомпетентного человека и толпы зевак, которые без понимания верят во все, что им сказали.
avost
12.07.2018 16:57Меня беспокоит только человеческое невежество, которое порождает панику. Appsee появились на рынке в 2012 году, причем открыто заявили о своих фичах
А вы всерьёз уверены, что если конечный пользователь не прочёл документацию, предназначенную для разработчиков использованной в приложении библиотеки, то он — невежда? Я, как пользователь, понятия не имею, что вообще в природе есть какая-то аппсии, которая внезапно пишет видео. Я ставлю бургер-кинг, я не ставлю аппсии. Почему, желая купить бутерброд, я должен штудировать техдокументацию неведомого мне аппсии и читать интервью неведомого мне Цахи и как я вообще должен узнать о его существовании? И даже в пользовательском соглашении НЕ написано, что будет писаться видео с девайса, а, тем более, тонкости с заблуриванием нужных полей.
Да, и что касается блура. На хабре было несколько статей о том, как успешно восстанавливать забруренные данные. Причём восстанавливается картинка, даже не имея алгоритма блура. А уже если есть в наличии алгоритм, то задача восстановления данных выглядит вообще тривиальной (я не утверждаю, что так и есть, но это выглядит крайне странно — зачем вообще блурить, а не вырезать поля полностью?).
Да и ссылки на заявления о том, что они не будут использовать полученные данные выглядят, как "мамой клянус!". Для того, чтобы точно НЕ использовать полученные данные (намерненно или случайно, для пользователя это не важно) нужно точно их НЕ собирать. А они собирают. Вот в чём проблема. А не в том, что какой-то Цахи когда-то открыто заявил — "мамой клянус".
JC_IIB
12.07.2018 12:06+2Тут, в общем-то, три исхода.
Либо он реально нашел дыру, и по какой-то своей причине не выкладывает видео с пруфом, вероятность этого исхода — стремительно уменьшается с каждым часом. Чего он ждет — непонятно, люди могут и повторить описанный трюк, и получить опровержение, которое будет даже еще громче, чем исходный пост.
Либо он ошибся, но словил хайпа, публикация разлетелась по агрегаторам, десант заминусил аппу БК в сторах, и теперь ему не хватает духу сказать «Сорян, посоны, я прогнал». Не будем забывать также и про то, что в этом случае БК может и ответить иском.
Либо — я не исключаю — это продуманная рекламная кампания БК-шных конкурентов. А может — и самого БК, учитывая их склонность к эпатажу. А может, и вирусный вброс с неясными (хотя определенные соображения уже есть) целями и заказчиками.W0xel
12.07.2018 13:24Видео опубликовано пользователем пикабу. Чекните в поиске «А что такое этот ваш AppSee? [Re: Приложение Burger King тайно записывает экран телефона! ]» на пикабу/хабре
Source
12.07.2018 14:14+1Понятно, что всё ради хайпа… Человек сам идёт на явное нарушение правил Хабра, и думает, что крупные компании так же неадекватны и закон им не писан.
А вот почему из тысяч приложений, которые используют AppSee, было выбрано именно это? Вопрос отдельный. И не исключено, что имеет место спланированный вброс.
P.S. Ну а почему до сих пор нет видео-пруфа — возможная причина только одна. Видимо, там просто нет пруфа :-)
Superl3n1n
12.07.2018 12:14-1Тем не менее реакция представителя Бургер Кинга очень однозначна. Правда хорошо бы кроме скриншотов, оставлять ссылки на страницы с комментариями (даже в личном бложике). Но не исключено, что автор поста просто пока перебывает в эйфории от поднятого хайпа.
u4b
12.07.2018 12:20+1Реации представителей Бургер Кинга еще не было. По крайней мере на Пикабу. Там был точно такой же вброс. Возможно, от самого же автора данного «разоблачения».
В посте была указана несуществующая почта. Я это проверил и написал об этом. И пост сразу же был удален. «Непрокатило, вычеркиваю».
gekka107
12.07.2018 15:36Ответили, говорят что получают только обезличенную аналитику, и про gdpr не забыли упомянуть.
Sabubu
12.07.2018 12:03-1Человек информирует людей. Ведь нормальный пользователь вряд ли ожидает, что кто-то подглядывает ему в телефон, когда он смотрит каталог бургеров.
Информирования никогда не бывает мало. Надо, чтобы каждый пользователь знал про такие приложения и не устанавливал бы их. Чтобы про это писали СМИ. В борьбе с врагом все средства хороши.
Xenywest
12.07.2018 11:55+6Здесь видно абсолютную безграмотность и отсутствие опыта у молодого специалиста в сфере разработки мобильных приложений. Опыт придёт со временем, ничего страшного.
Куда страшнее отношение общественности к данному явлению. Если зайти на сайт-первоисточник, то там первый комментарий в топе имеет смысл: "это что, оно хранит данные банковской карты, если я ввожу их?". Большинство пользователей подхватило и все, хаос обеспечен.
Интересно, если на пикабу создать пост про вебвизор, который упомянули выше, то какие оборотыпаранойисреди обычного населения он наберёт?Sabubu
12.07.2018 12:05-2А почему люди должны использоваться в качестве подопытных свинок? Приложение рекламирует себя как приложение для заказа бургеров, а не приложение для бесплатной работы тестером.
unlor
12.07.2018 12:35+3Потому что без аналитики подобного плана эти же люди потом пишут отзывы типа «вот эта кнопка очень неудобная, тут ни черта не понятно, вот этот пункт меню нужен всегда на первом экране, а вы его спрятали на третий уровень» ну и т.д.
Это не «тестирование», не путайте теплое с мягким. А в случае если действительно записывается видео, а не просто тапы по экрану — это скорее реализация методом наименьшего сопротивления.Sabubu
12.07.2018 12:59-2Это и есть дикий нерегулируемый капитализм (нарушение ожидаемой приватности пользователя, оправдываемое спрятанным где-то в privacy policy пунктом). Это мы уже проходили — без государственных ограничений бизнес всегда приходит к каким-то диким и невыгодным большинству решениям. Например, до принятия законов о труде бизнес выстроил ситуацию, в которой люди должны были работать излишне длинные смены за минимальную плату (хотя что скрывать, это и сейчас есть, например в сфере так называемых «сервисов заказа такси»).
То, что капиталисту неудобно, еще не повод устраивать слежку за пользователем. Пусть своим разработчикам камеру на лоб повесят и они круглосуточно с ней ходят, если им так нужна аналитика.unlor
12.07.2018 13:07+1Т.е. вы к подобным вещам вообще отношения не имеете, полностью проигнорировали то, что я написал по поводу UX и видите в этом только нарушение личного пространства?
falstaf
12.07.2018 13:08А в чём приватность пользователя нарушается, можете рассказать? Ну и про слежку тоже интересно. Мне, например, как параноику со стажем, не очень понятно, какие-такие приватные действия вы осуществляете при заказе бургера. И как же тогда быть в самих заведениях, ведь там — о боже! — кто-то может услышать ваш заказ и узнать ваши вкусовые предпочтения.
Ну и вообще, если кого-то что-то не устраивает в условиях предоставления услуг какого-либо сервиса, то очевидным и логичным выходом из этой ситуации будет перестать им пользоваться, разве нет? Лично я так обычно поступаю. А то устроили чёрт знает что на пустом месте. Ещё и СМИ радостно эту тему репостят теперь, а хомячкам лишь дай пищу.MINYSMOAL
12.07.2018 13:11+1Более того, скорее всего такие данные обезличены. Зато вот в заведениях, явно понятно кто и что и сказал, но ведь это мало кого волнует.
vlivyur
12.07.2018 18:04В смысле обезличены? Они знают всё до номера телефона и номер заказа наверняка не тайна, и где забирать ты его будешь, тоже знают.
Fracta1L
12.07.2018 13:48Омг, краснопузым только дай повод залезть на броневичок и потолкать свою демагогию о клятом капитализме. Святые нашлись.
ChieF_Of_ReD
12.07.2018 13:29+2Вот знаешь, меня порой умиляют подобные посты слепого доверия к технологиям и фичам, вот сколько, было «ааа, оно должно блюрить, блочить и проч запись кредиток» Но по сабжу, как было замечено сколько было миллиардов потеряно из-за мелких багов, которые и валили всю логику и архитектуру. Для обывателей подобный хаос и недоверие оно просто необходимо, ибо они не знают и не понимают, какие могут быть последствия вбивания номеров телефонов на «некоторых» сайтах так называемых пинсабмитами, нельзя отправлять смс на короткие номера, почему нельзя устанавливать на телефон приложения формата *.apk. Почему не рекомендуется пользоваться мобильным банкингом в виде приложений и многое другое. Люди просто не задумываются и не верят, что кто-то может позариться на их святое. И вот такие пусть частичные вбросы позволяют им хоть чуть подумать о последствиях.
Sabubu
12.07.2018 12:44-2Интересная психология у людей.
Имеется явный случай ущемления прав пользователей и обмана их компанией (скрытая съемка экрана приложения).
При этом в комментариях все ищут в чем бы обвинить автора (а не компанию). Мол, он славы ищет, не знает кухни разработчиков, все так делают, надо читать договор и тд. Отчего так, интересно? Вряд ли ведь они все работают в сервисах аналитики.MedicineMan
12.07.2018 12:53А причем тут психогия людей? Разные люди, разные мнения. Есть такие как вы, которые его защищают.
MINYSMOAL
12.07.2018 13:06Ну наверно, потому что автор не предоставил нормальных пруфов? Все-таки Бургер то поавторитетней будет ;)
DnV
12.07.2018 20:13Он предоставил пруф записи экрана, просто для многих сбор статистики без явного разрешения пользователя и возможности отключения — норма. На самом же деле, эта дичь до сих пор легальна лишь потому, что большинство даже не знает о подобных «фичах» в приложениях. Плохо это даже просто потому, что просто жрёт батарейку на смартфоне больше необходимого! Значит любой хайп тут полезен, голосую за автора вне зависимости от того, замазываются ли пароли и используется ли мобильный трафик конкретно в приложении БК.
MINYSMOAL
12.07.2018 20:40Верно, но тогда надо было рассказывать про такую штуку как appsee, каковы ее функции в различных приложениях и обсуждать с людьми хорошо это или плохо, а не тыкать пальцем в бк, говоря какие они плохие. акценты немного не правильно выставлены имхо, отсюда и недопонимание и наезды на автора.
lorc
12.07.2018 15:28Имеется явный случай ущемления прав пользователей и обмана их компанией (скрытая съемка экрана приложения).
Если вопрос об ущемлении прав еще можно обсудить, то вот с обманом все сложнее. В чем БК обманул пользователей?
xa6p
12.07.2018 12:44а где посмотреть все адреса всех серверов аналитики, таргетинга и прочего маркетинга? разрабы хотят копеечку и удобств, а мне хотелось бы контролировать свой трафик средствами iptables.
Sabubu
12.07.2018 12:55Я думаю, капиталисты считают, что это не ваш, а их трафик и им не очень хочется, чтобы вы его контролировали.
unlor
12.07.2018 13:02где-то в гугле. По запросам «сервисы веб-аналитики». Только предупреждаю, их овер9000. Я только работал с парой десятков, а уж сколько их на самом деле и представить сложно.
MedicineMan
12.07.2018 12:44UploadVideoONCrash=True.
Видео отправляет только когда приложение вылетает. Предполагаю, что всё это нужно для того чтобы смотреть, что пользователь делал до вылета.
Arty_Fact
12.07.2018 12:50UPD: Роскомнадзор обратился к Бургер Кингу через группу в вк.
Как вам такой уровень защиты ПД?Sabubu
12.07.2018 12:54+1Если РКН это прикроет — это будет его первое полезное дело за все время существования. Увы, дикий капитализм кроме государственного кулака, ничего другого не воспринимает.
Makc_K
12.07.2018 12:56Уже СМИ, подтягиваются:
lenta.ru/news/2018/07/12/burgerSkler0z
12.07.2018 13:25+3Из текста новости: «Мужчина обнаружил в коде программы строчки»
Ахахахаа.
Вот как взять и у… бы!
whiteglasses
12.07.2018 13:32+3Очень странно видеть так много наездов на автора, и очень много реакций в духе «да, подглядываем и будем подглядывать, это вообще нормально». «Мы повесили в туалете камеру, но она честно-честно отворачивается, когда вы штаны расстёгиваете. Кстати, оплатите расходы на камеру.»
Мне не хочется чтобы за мной подглядывали. И большинству не хочется. Если за мной хотят подглядывать, мне должны об этом понятно сказать. Не мелким шрифтом на юридическом языке, а большими буквами и понятными мне словами. Я не должен знать про AppSee, аналитику и т.п. Но должен иметь возможность отказаться от слежки ещё до того как её начнут.
Это вот такие наглые и беспредельные методы слежки вызывают распространение блокировщиков рекламы. Это вы, любители собирать всю информацию без спроса и разбора, спровоцировали появление GDPR. Дальше будет только круче.
Это борьба меча и щита, почему должны совершенствоваться только методы слежки и не должна расти защита от неё. Она и растёт, да пока отстаёт. Потому что сейчас политика «по-умолчанию разрешено, если явно не запрещено». Но с такой бесцеремонностью разработчиков, провайдеров и всех остальных, мы серьёзно рискуем со временем оказаться в интернете, где по умолчанию всё запрещено. И это будет плохо для всех. Но может хоть перестанут подглядывать за мной в душе.
Посмотрите как в том же android от версии к версии закручивают гайки с доступами приложения. Всё труднее становится жрать батарейку в фоне, и читать смс пользователя.
Просто людям всё больше проблем начинают доставлять данные о них, оказавшиеся в открытом доступе. Не долго осталось ждать, когда даже дети будут понимать, что не всё можно и нужно выкладывать в интернет.
Мне почему-то надо поверить, что BurgerKing и AppSee замечательные ребята, которые так заботятся о моих данных. Чётко соблюдают свои соглашения и никогда на допускают утечек. Вот только обычно оказывается, что в приложении не поставили пару флагов, на сервере видео доступны без смс и регистрации, а юристы будут трактовать соглашение как угодно лишь бы выгодно для компании в данный момент. А кто не согласен — лох, ламер и т.п.
Да сейчас с приватностью всё плохо и дальше будет хуже. Но это не значит, что надо лечь и расслабиться. Спасибо автору, что его эта проблема волнует, что он привлекает к этой проблеме внимание. Меня тоже волнует. Пусть больше людей знает, что и куда их телефон шлёт.fennikami Автор
12.07.2018 14:35Спасибо Вам большое.
Я очень устал от всей этой ситуации, но главное то, что все-таки донес важное —
люди далекие от IT узнали про AppSee и про кошмарное руководство IT-раздела БК.Source
12.07.2018 14:56А почему Вы написали статью не про AppSee, а про БургерКинг?
Лень было с десяток приложений проснифать? Они ж даже не скрываются… busuu, ebay, gett и т.д.
И в чём кошмарность IT-раздела БК? Все остальные приложения, использующие AppSee, в чём-то принципиально лучше его используют?
Source
12.07.2018 14:44Я думаю, любому опытному программисту очевидно, что логгирование или мониторинг — это неотъемлимые части любого проекта в production. От этого никуда не уйти до тех пор пока мы не научимся создавать математически корректные программы с идеальным UX. И никакой штат тестировщиков и фокус-группы тут не помогут.
Это не вопросы приватности, это вопросы доверия. Если вы собираетесь совершать какие-то действия, направленные на раскрытие данных, которые вы считаете секретными, то не пользуйтесь для этих действий приложениями компаний, которым вы не доверяете. А если боитесь диверсий и утечек в рамках компании, то вообще никакими приложениями для подобных действий не пользуйтесь. Никакого другого выхода тут даже теоретически нет.
P.S. В том, чтобы фигачить видео-трансляцию экрана, лично я не вижу особого смысла.
whiteglasses
12.07.2018 15:05+1Я думаю, очевидно, что для мониторинга туалета можно повесить там датчик движения, а можно и видеокамеру. Наблюдать и мониторить можно по разному.
Говорят, что 100% улиц Лондона просматривается видеокамерами. А скоро и в других крупных городах так будет. По вашей логике мне теперь на улицу выходить не надо. Или всё-таки надо бороться, чтобы к этой картинке ни в коем случае не подпускать рекламщиков, чтобы хранилось надёжно, не бесконечно, чтоб контроль доступа был.
Логика не пользуйтесь — это как с наркотиками. Почему не говорят просто «не пользуйтесь». Нет, их запрещают. И людей убивать запрещают. А могли бы просто сказать, ну вы не ходите на улицу, раз там убить могут.
Выходы есть и теоретические и практические. Вот как-то общество договорилось, что заходя в магазин, ты там не все деньги оставляешь (как магазину хочется, всем магазинам хочется), а только сколько сам захочешь. И тут будет достигнуто соглашение, что покупая гамбургер, я не даю кафе права подглядывать мне в телефон. Я только покупаю гамбургер.Source
12.07.2018 15:28Наблюдать и мониторить можно по разному.
С этим я согласен. Но это и есть про доверие. Вы не можете определять как осуществляется мониторинг. Вы можете либо доверять какой-то конкретной компании в том, что она не собирает лишнее (хотя остались ли такие с нынешней модой на BigData?), либо не пользоваться её услугами.
Говорят, что 100% улиц Лондона просматривается видеокамерами. А скоро и в других крупных городах так будет. По вашей логике мне теперь на улицу выходить не надо.
Почему не надо? Вы там преступления что-ли совершаете?
чтобы хранилось надёжно, не бесконечно, чтоб контроль доступа был.
Ну и как вы будете за это бороться? Любая нормальная компания сама за всё это обеими руками, но гарантировать 100% надёжность вам никто не в силах. Даже банки вскрывают, а уж у них априори защита всегда будет получше, чем у хранилища полусырых данных.
Логика не пользуйтесь — это как с наркотиками.
Не понял пареллели. Если только в том, что фаст-фуд — это как наркотик для некоторых?
Тут скорее аналогия "если не хотите, чтобы прохожие могли вас видеть, — не выходите на улицу". Во, кстати, есть какой феномен "бабушки у подъезда" — это прямой аналог мониторинга, они знают в какое время вы уходите, в какое возвращаетесь, могут обсуждать эту информацию и строить гипотезы. Могут сливать эту приватную информацию посторонним людям. Вы даже не подписывали с ними ToS, в общем это всё крайне возмутительное нарушение приватности. Пожалуй, надо написать разоблачение на Пикабу )))
И тут будет достигнуто соглашение, что покупая гамбургер, я не даю кафе права подглядывать мне в телефон. Я только покупаю гамбургер.
Так они и не подглядывают, если вы зашли в кафе купить гамбургер. А если установили их приложение на телефон, будьте по умолчанию уверены, что всеми выданными разрешениями они пользуются на всю катушку.
whiteglasses
12.07.2018 15:43Сейчас вопрос переходит из плоскости «доверия компаниям» в плоскость «доверие государственным институтам регулирования компаний». Компании потеряли доверие людей в вопросах защиты информации. И люди обращаются к государствам. Так же как государствам передали другие важные вопросы типа оборота оружия, наркотиков, насилия. Почему-то компаниям эти вопросы решили не доверять. Люди не хотят, чтобы в лицензионном соглашении был пункт, что компания вас может убить и ограбить. «Вы же галочку поставили».
Source
12.07.2018 15:52Во-первых, вы передёргиваете. А во-вторых, с чего вы взяли, что у государственных институтов получится лучше? Кончится вся эта истерия тем, что останемся мы и без Google и без Apple за новым железным занавесом. И так уже LinkedIn заблокировали, Telegram пресуют, а вам всё мало.
Я уж молчу про государственный мониторинг, который уже за всем трафиком, а заодно и за звонками и СМС следит, и наврядли деперсонализированно.whiteglasses
12.07.2018 16:40Вы не путайте тёплое с мягким. Контроль над национальным интернетом и контроль над персональными данными — это разные истории. Хотя у них есть и пересечения.
И да, государству не очень доверяют, но частным компаниям доверяют ещё меньше.Source
13.07.2018 01:23+1Чего это я путаю?.. LinkedIn заблочили как раз потому что они не захотели покупать сервера в РФ для хранения персональных данных. Я надеюсь, Вы понимаете зачем для этого нужны сервера в РФ? Телеграм хотят закрыть за то, что не даёт доступ спец.службам к персональным данным (перепискам).
Частные компании собирают данные о вас, чтобы улучшить свой продукт и чтобы пользователям же было удобнее. Причём удобство тут меряется конверсиями, поэтому данные деперсонализируют просто исходя из соображений удобства. А вот государство как раз хочет иметь полный доступ к очень даже персонализированным данным. Законы для защиты приватности — это как пчёлы против мёда.whiteglasses
13.07.2018 17:51LinkedIn заблочили как раз потому что они не захотели покупать
Конечная задача — технический и юридический контроль надо отечественным сегментом интернета. Как в Китае. Linkedin сказал, что законам вашим не буду подчиняться, ну его демонстративно и заблокировали, благо ничего от этого не сломалось. Персональные данные тут просто предлог. Мог быть и другой какой-нибудь закон. Важен принцип: чтобы работать на территории страны — нужно соблюдать её законы. Европейский GDPR про то же самое: хотите работать у нас — делайте как мы скажем.
Ну а про частные компании радеющие о пользователях… Частные компании интересуют только деньги. И они будут делать то, что позволит им заработать как можно больше денег. Если бы за продажу рабов не сажали в тюрьму — продавали бы рабов, без сантиментов. Выгодно продавать пользовательские данные — будут их продавать. Вот свежий пример был с cambridge analytica. Все хотят доступа к вашим данным. И если от государства их никак не спрятать, то хоть от частных фирм хочется.Chamie
13.07.2018 18:34Конечная задача — технический и юридический контроль надо отечественным сегментом интернета. Как в Китае. Linkedin сказал, что законам вашим не буду подчиняться, ну его демонстративно и заблокировали, благо ничего от этого не сломалось. Персональные данные тут просто предлог. Мог быть и другой какой-нибудь закон. Важен принцип: чтобы работать на территории страны — нужно соблюдать её законы. Европейский GDPR про то же самое: хотите работать у нас — делайте как мы скажем.
Знаете, ответ уровня «Он умер, потому что его столкнули с крыши — Нет! Он умер, потому что ударился об асфальт после падения».
Конечная задача чего — контроль над сегментом? И что такое этот «сегмент»?
Персональные данные тут просто предлог. Мог быть и другой какой-нибудь закон. Важен принцип: чтобы работать на территории страны — нужно соблюдать её законы.
Как вы это вообще в одном абзаце сочетаете? «Его наказали по закону, но это только предлог, а главное — чтобы все соблюдали закон».
Частные компании интересуют только деньги. И они будут делать то, что позволит им заработать как можно больше денег.
Частные компании делают то, чего хотят их владельцы. Если их владельцев интересуют только деньги — то да, так и будет. Но не всех интересуют только деньги.
Sabubu
12.07.2018 20:14Что вам мешает при установке приложения спросить у пользователя разрешение на видеозапись экрана? Так вы будете не шпионить за пользователями, а они будут осознанно и добровольно делиться с вами информацией в обмен на улучшение приложения.
Подумайте, почему компании так не делают. (ответ: потому что во многих странах закон их к этому не обязывает, шпионить выгоднее чем не шпионить).
Вы предлагаете систему, в которой выгоднее обманывать пользователя, чем быть честным. Как с банками, которые до принятия закона не хотели писать полную сумму кредита, а предпочитали составлять максимально сложные документы с кучей условий и оговорок.Source
13.07.2018 01:28Я не занимаюсь мобильной разработкой и не ем бургеры, поэтому не в курсе как выглядит установка их приложения. Но есть у меня подозрение, что разрешение они спросили, так просто ни Android, ни iOS ничего не разрешают. Просто среднестатистические пользователи болт клали на список запрашиваемых разрешений, иначе ни один человек, опасающийся тотальной слежки, не установил бы официальный клиент того же Vkontakte, который вообще практически полный доступ ко всем возможностям телефона запрашивает. И vk тут не одинок, таких приложений каждое второе из топовых.
vlivyur
13.07.2018 13:54This app has access to:
Location
Uses the device's location
Photos / Media / Files
Uses one or more of: files on the device such as images, videos or audio, the device's external storage
Camera
Uses the device's camera(s)
Device ID & call information
Allows the app to determine the phone number and device IDs, whether a call is active and the remote number connected by a call
Other
receive data from Internet
BingoBongo
12.07.2018 14:21-1Очень интересно мнение тех кто поддерживает данную фичу (реалтайм отправка видеозаписи экрана приложения с замазанными данными банковской карточки): если у AppSee дополнительно начнет записывать видео с вашим лицом фронтальной камерой для отслеживания эмоций (чтобы также предоставить обратную связь по интерфейсу), а потом слать эту запись для обработки нейросетью на свой сервер, то будете ли вы против этого? Хотя конечно лицо — это «персональные данные», но можно найти какую-нибудь лазейку, что, например, будут отсылаться только область рта и глаза, да и в пользовательском соглашении все будет прописано.
MINYSMOAL
12.07.2018 14:38То есть, если приложение отправляет данные, куда тыкал и что делал пользователь, в текстовом виде — это окей, а вот если видео, то — обожемой проклятые капиталисты следят за мной в кровати. все верно?
Кстати, вы по кусочку рта сможете определить личность? Достаточно чтобы в terms было прописано, что данные должны быть обезличены.plMex
12.07.2018 14:51Нет, просто изначально условные приложения собирали «анонимную статистику» о своей работе там — модель телефона, количество свободной памяти, загрузка CPU, стек вызовов во время крэша и т.п. Кроме того, им были нужны разрешения на обработку персональных данных, т.к. номер телефона — уже персональные данные, а к нему привязывается заказ и т.п.
А потом кто-то «умный» сел и подумал: а что, разрешение на сбор аналитики у нас от пользователя есть, разрешение на хранение и обработку персональных данных тоже — почему бы теперь и не собирать всё подряд? А чтобы не париться с изобретением велосипеда — наймём аутсорсера.
В результате и получается, что у них есть разрешения на сбор и использование персональной информации, равно как и отсылку «аналитики» третьим лицам и они вроде «ничего не нарушают», только вот это не совсем то, что ожидали пользователи выдавая эти разрешения.MINYSMOAL
12.07.2018 15:41Я с вами согласен, если приложение собирает персональную информацию по которой можно явно идентифицировать конкретного пользователя, то это никуда не годится, даже если прописано в terms of use. Но тут думаю все-таки речь про условного юзера, чтобы проработать ui/ux.
ClearAirTurbulence
13.07.2018 10:54Если у юзера есть ID (а он есть), а приложение еще и пишет его телефон\имейл (а оно пишет, судя по комментам смотревших), то пользователь при желании легко идентифицируется.
man_without_face
12.07.2018 15:08-12Парень, на тебя накинулись только из-за одного: тебе 18. Сейчас Хабр изменился и все стали дико обидчивые, особенно, если кто-то что-то сделал, а они не пострадали на какую-то тему. Для них ты ещё ребёнок, а значит что-то сделать просто не можешь.
Так что вперёд, и не обращай внимания ни на кого.fennikami Автор
12.07.2018 15:11-1Спасибо. Такие теплые слова очень вдохновляют и помогают идти дальше.
man_without_face
12.07.2018 15:14-2О карме тоже не переживай. Новый аккаунт и вперед. Никто и не свяжет vasya_pupkin с lola_burger. :)
artemerschow
12.07.2018 15:20+9на тебя накинулись только из-за одного: тебе 18
Вы вот сейчас серьёзно? Будь ему хоть 12, хоть 87, всем как-то плевать. Я подобного рода предвзятости тут лишь за отдельными мракобесами замечал, когда они за гомеопатии, да астрологии всякие затирали в комментах.man_without_face
12.07.2018 15:21-4Ну мне-то не лечи)
artemerschow
12.07.2018 15:24+2Недорос для этого?) А если серьёзно, то тут, пусть и эмоциональная, но вполне обоснованная критика, почему автор не прав. Каким боков вы тут притянули возраст, я вообще хз
man_without_face
12.07.2018 15:25-2Хорошо, я вас понял, вы правы и всё такое, продолжайте движение по ветке комментариев дальше.
Mikhail_dev
12.07.2018 17:58Здесь было несколько статей от школьников, которые были восприняты хабром без всяких ваших «да потому что тебе 18». Вот например, школьнику 15 — Как я создавал приложение, но был вынужден закрыть из-за действия закона
Но вам то конечно лечить не стоит, вы же всё знаетеman_without_face
12.07.2018 19:53-1Я ж говорю — обидчивые стали)) Чуть что против массы, так гадить будут по самое не хочу. Этому парню опустили карму и теперь он вообще не сможет писать постов (хотя вполне мог бы, как-никак не по подъездам шоркается). Мне ещё накидали (пусть даже я 100 раз не прав, это моё мнение). Ну и ниже, как бонус: habr.com/post/416919/#comment_18875097
Astus
12.07.2018 15:38+1Не увидел дискриминации по годам в обсуждении. Ну ок — зачем в принципе начинать пост с указания возраста? Только лишь, чтобы показать какой молодой, а уже какой заговор вскрыл? Только вот и заговора нет, и 18 — это уже взрослый человек.
fifiusha
12.07.2018 15:11Я считаю, что дело не в том, что приложение отправляет что-то персональное или нет. Я солидарна с автором в том вопросе, что приложение должно рассказывать пользователю о таких действиях и запрашивать разрешение на такое отслеживание. А не «запрос на доступ», которые непонятно зачем ему нужен. И да, несмотря на то, что приложение ПД не отправляет, для меня такое отслеживание моих действий — неприятное открытие. если бы меня напрямую приложение попросило об этом, ничего такого бы в этом не было. Но вот так об этом узнать — это неприятно.
denis-19
12.07.2018 15:11Народ сейчас будет тестить другие приложения на подобное и откроется ящик пандоры…
topvsehtopov
12.07.2018 15:12-2Уважаемые сисадмины, выручайте: нужно придумать 10 несложных вопросов для сисадминов (мне надо будет из них составить тест небольшой, он нужен для профессионального праздника сисадмина) Накидайте варианты вопросов, пожалуйста
numen31337
12.07.2018 15:13+1Напомнило ситуацию с Тинькофф habr.com/post/356588
Я бы сейчас на месте автора ждал очень солидное обвинение за клевету со всеми вытекающими.
khrundel
12.07.2018 15:18Одно непонятно: нафига видео? Его ж разбирать надо. Не проще писать, например, айдишники кнопок и потом автоматом обрабатывать данные, что там чаще нажималось и т.п.?
ChieF_Of_ReD
12.07.2018 15:21+1Я восхищён вами господа, феноменальное лицемерие.
man_without_face
12.07.2018 15:28+2Пост классный, но автор негодяй =))))
FrankSinatra
12.07.2018 15:31+4Автор накидал обвинений, но доказательств не предоставил.
ChieF_Of_ReD
12.07.2018 16:00-1Знаете, на вашем фоне отлично смотрится статья сбоку
Заголовок спойлера
nafgne
12.07.2018 15:30А что не так?
Спорные статьи/комментарии всегда бьют по карме, а тут эффект усилился кратно за счёт шумихи.
MINYSMOAL
12.07.2018 15:30Для того, чтобы понять почему так достаточно просто почитать его ответы здесь, на вполне справедливые замечания. А сама «проблема», которая отражена в посте, волнует многих.
artemerschow
12.07.2018 15:33+1Плюсы посту, потому что, во-первых, публика разношёрстная, тема близка, а компетенции сходу понять, что это не совсем то чем кажется, не у всех хватает. Да и к поспешным выводам все склонны. Пролистали, вроде норм, молодец — плюсик. Потом читают комменты и понимают, что были не правы, как и сам автор. А вот в карму минусы, полагаю, оттого, что автор стоит на своём не слушая доводов. А может потому что обманутыми себя почувствовали — пост то не минусанёшь обратно. Мне так кажется, по крайней мере
FrankSinatra
12.07.2018 15:30+2«Мобильное приложение Burger King с удаленным заказом не собирает персональных данных своих подписчиков. Все транзакции надежно защищены одним из лучших эквайеров страны — »Яндекс.Касса". Данные о поведении пользователей в приложении не содержат информации о банковских картах и не хранятся на сервере", — сообщает компания.
Burger King отмечает, что все данные обезличены и закодированы. " Приложение Burger King действительно подключено к одной из самых известных во всем мире и защищённых аналитических платформ — AppSee, которая позволяет выявлять технические проблемы и другие «узкие» места в работе приложения. Эта система не имеет ничего общего со сбором персональных данных, более того, ни мы, ни специалисты AppSee не видят персональных данных (они приходят на сервер в обезличенном виде) ", — пояснили в компании.
tass.ru/ekonomika/5368255MINYSMOAL
12.07.2018 15:33В отличии от автора, пользователь u4b выкладывал видео, где действительно видно, что данные банковских карт скрыты.
FrankSinatra
12.07.2018 15:48Автор накидал обвинений, не предоставил доказательств. По сути он показал, что бургер кинг собирает аналитику в своем приложении, но ее собирают повсеместно.
Обвинил AppSee в получении и распространении конфиденциальной информации.
Вдобавок ко всему, эту информацию разнесли СМИ, что несомненно привело к панике на ровном месте среди пользователей, которые вообще не понимают назначение AppSee. И на хабре это воспринимают нормальным.v0l0diab
12.07.2018 17:01+1Приведите пожалуйста хоть один пример «обвинений» в статье. И заодно опровергните хотя бы один факт из изложенных в статье. Про доказательства вообще не понятно — доказательства чего? Про то, что номера карт будут доступны сторонним лицам, в статье нет ни слова. Факт записи налицо. Факт отправки налицо. «Заблюрены» там эти поля или нет — лично мне вот все равно, откуда мне знать что с этими полями было сделано ДО «заблюривания». А паника, она на ровном месте не бывает.
Кстати, понравилось как РКН в вк ответил любителям потыкать в GDPR, написали мол мы тут вообще-то работаем по ФЗ 152.StallinHrusch
12.07.2018 17:23«Заблюрены» там эти поля или нет — лично мне вот все равно, откуда мне знать что с этими полями было сделано ДО «заблюривания».
Ну тогда уж и факт записи видео тут не важен, можно же просто эти даннае в http-реквесте передать =)Source
13.07.2018 01:41+2Вот это самое эпичное во всей истории. Люди истерят, что записывается экран, на котором заблюрены данные карты. При этом всерьёз рассуждают, что кто-то может написать алгоритм разблюривания. И совершенно упускают из вида, что эти данные вводятся в обычную форму и доступны приложению без всяких видео. Если уж подозревать БК в воровстве кредиток, то чего бы им напрямую их себе не сохранять, без всяких AppSee?
MINYSMOAL
12.07.2018 17:26Вы в блог автора заходили? Он везде пишет: внимание внимание приложение крадет данные банковских карт!!111
v0l0diab
12.07.2018 17:51Какой еще блог? Зачем мне заходить в какой-то там блог? Мне все равно, что автор там писал когда либо на заборе. Меня просто не устраивает, когда люди начинают предъявлять авторам какие-то надуманные обвинения, фактуры по которым в статье вообще нет.
MINYSMOAL
12.07.2018 18:02Действительно зачем. ну тогда потом не удивляйтесь, что все русские сми пишут, что БК сливает данные банковских карт :)
Вы ветку комментариев к данной статье всю читали?
Там по словам автора более явно написано, что да, данные карт сливаются.v0l0diab
12.07.2018 18:15+1Специально перечитал все ответы автора, ни одного коммента с упоминанием факта «слива данных банковских карт». Пример в студию, пожалуйста.
MINYSMOAL
12.07.2018 18:30habr.com/post/416919/#comment_18873465
Ну и далее поехали ниже читать про сенсетив вьюv0l0diab
12.07.2018 18:34Там по словам автора более явно написано, что да, данные карт сливаютс
Так где явно написано то?MINYSMOAL
12.07.2018 18:38Поясняю на простом языке — если автор утверждает, что сенситив вью не стоит на данных полях, то это значит что они передаются 3им лицам. В общем можете дальше ударяться в демагогию ;)
FrankSinatra
12.07.2018 17:38Ну и вишенка на торте: экран записывается даже тогда, когда Вы вводите данные своей банковской карты в приложении (и это необходимо для осуществления заказа). Заметьте, все данные.
И финальная вишенка: мало того, что записывать экран — весьма сомнительное занятие, так еще к записанным видео имеют доступ не только разработчики приложения Burger King, но и различные партнеры AppSee (то есть — совершенно левые люди с неизвестными намерениями), да и сам AppSee тоже.
Напомню — видео записывается даже тогда, когда вы указываете данные своей банковской карты. И к нему имеют доступ кто попало.
А это не похоже на «обвинение»? В утвердительной форме автор написал что номер карты и другие данные попадают в AppSee и к другим «левым людям», его попросили доказать такие высказывания, он молчит.v0l0diab
12.07.2018 17:57Ну вот вы серьезно? Русским же языком написано, более чем понятно:
«экран записывается», «к записанным видео имеют доступ», «И к нему имеют доступ кто попало» — очевидно же, что к видео. Где там написано, что номер карты попадает к левым людям то?Hardcoin
12.07.2018 18:06В тексте и написано. Видео пишется, когда вводишь данные карты, к видео имеют доступ все подряд -> к данным карты имеют доступ все подряд.
То, что автор не написал эту фразу напрямую, значения не имеет. Он представил всё так, что этот вывод логично вытекает. Умолчал просто, что данные карты размываются.
ClearAirTurbulence
13.07.2018 10:59Умолчал просто, что данные карты размываются
Размазываются, если стоит галка. Если не стоит, или стоит, но по каким-то причинам не обрабатывается (глюк сервиса, взлом), блюра не будет.
Ну и про блюр писали, что в некоторых случаях можно восстановить при желании. Не знаю, реально ли при таком низком разрешении, но это уже отдельный вопрос, не самый важный в этом случае.
В итоге все сводится к вопросу: кто может гарантировать, что галка там все время стоит, и всегда (отныне, и во веки веков) корректно обрабатывается?
FrankSinatra
12.07.2018 18:12Ну и вишенка на торте: экран записывается даже тогда, когда Вы вводите данные своей банковской карты в приложении (и это необходимо для осуществления заказа). Заметьте, все данные.
Напомню — видео записывается даже тогда, когда вы указываете данные своей банковской карты. И к нему имеют доступ кто попало.
Я понимаю написанное как: «Вы ввели конфиденциальные данные -> все записалось на видео -> видео передалось в AppSee и к другим людям, которые это смогут увидеть.»
Ни слова о том, что данные обезличены и скрыты, прямое утверждение о передаче видео с записью конфиденциальной информации.v0l0diab
12.07.2018 18:22Я прекрасно понимаю, что логическая цепочка там вполне скаладывается в историю со сливом данных. Но это не равно
Автор накидал обвинений,...
И потом, не все ли равно что и как там обезличено. Насколько я понимаю, там и без видео телеметрии хватает. Лично меня вообще смущает сам факт телеметрии на экранах ввода банковских реквизитов.FrankSinatra
12.07.2018 19:26+1Нет не все ли равно, обвинения вполне конкретные о сливе конфиденциальной информации о банковских данных, надо быть последовательными и думать что говорите.
Заявлять о сливе данных, не имея доказательств, такое себе занятие. Новость подается в контексте того, что специально тайно бургеркинг шпионит за клиентами и ворует их конфиденциальную информацию, но это совершенно не так.v0l0diab
12.07.2018 19:49О сливе данных никто еще не заявил, это в другое заведение надо писать. А вот контекст как раз таки очень интересен. Потому что как раз сам факт «шпионажа», как Вы говорите, налицо, и подтвержден. Я уверен на 146%, что НИКТО из пользователей этого приложения не знал о видеозаписи.
Правильно ли я понимаю, что Вы оправдываете телеметрию на экранах с ПД, и доверите ее сбор какой-то там третьей стороне, главное чтобы там все было обфусцировано и соответствовало всяким там GDPR?
Sabubu
12.07.2018 20:22Максимально размытые формулировки и отвлечение внимания (пассажем про «защищенную Яндекс кассу», которая к проблеме отношения не имеет) говорят нам о том, что проблема есть.
Данные о поведении пользователей в приложении не содержат информации о банковских картах и не хранятся на сервере
не хранятся на сервере
Это же феноменальное вранье. Получается, что они отсылают видеозапись на сервер и там она отправляется в /dev/null что ли? Или они считают видеозапись не «данными о поведении пользователей»?
все данные обезличены и закодированы.
Ага, закодированы в формат MPEG.
более того, ни мы, ни специалисты AppSee не видят персональных данных (они приходят на сервер в обезличенном виде) ", — пояснили в компании.
А под «обезличены» они видимо имеют в виду, что они передают не ФИО пользователя, а «обезличенный» appUserId (первый скриншот в статье), по которому — мамой клянус — никак не определить данные пользователя.
Как же возмутительно. Я сам работаю в индустрии разработки ПО и прекрасно знаю ее изнутри, но если это прочтет обычный человек, то у него создастся ровно противоположное впечатление, что все в порядке.
plMex
12.07.2018 15:49+2Кстати, защитники этого дела тут много раз ссылались на GDPR. Так вот я, из любопытства, нашёл его перевод (в оригинале читать сложновато, увы) и там есть следующее:
Для физических лиц должно быть прозрачно, чтобы личные данные о них собирались, использовались, консультировались или обрабатывались иным образом, и в какой степени личные данные обрабатываются или будут обрабатываться. Принцип прозрачности требует, чтобы любая информация и связь, связанные с обработкой этих персональных данных, были легко доступны и понятны, а также использовался понятный и понятный язык.
…
Персональные данные должны быть адекватными, релевантными и ограничиваться тем, что необходимо для целей, для которых они обрабатываются. Это требует, в частности, обеспечения того, чтобы период хранения персональных данных ограничивался строгим минимумом. Личные данные должны обрабатываться только в том случае, если цель обработки не может быть разумно выполнена другими способами.
Т.к. на захватываемом видео есть телефон пользователя — это персональные данные. Где в ToS «прозрачно» прописано про съёмку видео с экрана с действиями пользователя и как доказали что «цель обработки не может быть разумно выполнена другими способами»?ct64
12.07.2018 19:16GDPR относится конкретно к AppSee, а не к приложениям, которые используют их услуги. В ToS прозрачно указано:
Пользователь дает согласие (а также третьими лицами для исполнения обязанностей Компании) на совершение следующих действий со своими персональными данными: сбор (получение), запись, систематизация, хранение, уточнение, извлечение, использование, передача (предоставление, доступ), блокирование, обезличивание, удаление и уничтожение, персональных данных, действия (операции) совершаемые с использованием средств автоматизации и оказание консультационных услуг по запросу физического лица, в том числе хранение сведений по запросу субъекта, проведение рекламных, маркетинговых и информационных компаний для клиентов, оформление и доставка заказа клиенту, хранение сведений о субъекте в соответствии с локальными актами Общества.
Я лично считаю, что это полностью покрывает функционал AppSeeplMex
12.07.2018 19:32Я лично считаю, что это полностью покрывает функционал AppSee
А я — нет. Закон 152 ФЗ, статья 18:
5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.
Т.е. чтобы отдать запись экрана организации в другой стороне БК должен гарантировать что в эту запись не попадут никакие персональные данные, а так как модуль «статистики» сторонней разработки, то они это гарантировать не могут.
vlivyur
13.07.2018 14:01Есть четыре вида лжи: ложь, наглая ложь, статистика и цитирование. Цитируйте целиком, потому что выше по тексту явно написано что ими понимается под «персональными данными» и там нет слов «видеозапись экрана».
plMex
13.07.2018 14:44выше по тексту явно написано что ими понимается под «персональными данными» и там нет слов «видеозапись экрана»
Там есть мобильный телефон. И хотя, с одной стороны, на сайте РКН в ВиО написано что телефон не является персональными данными, я думаю там речь идёт о городском телефоне, т.к. мобильный, в отличие от городского, позволяет однозначно идентифицировать человека (в РФ, по крайней мере, так же как и номер паспорта/ВУ).
Во-вторых, сегодня они закрашивают номер карты, завтра что-то сглючит и перестанет закрашиваться — это уже явно будут персональные данные, без оговорок.
Sabubu
14.07.2018 01:10+1На видеозаписи виден номер мобильного телефона, который идентифицирует в России конкретного человека и выдается только по паспорту. Следовательно видеозапись содержит перс данные, которые скрытно передаются с телефона гражданина РФ в израильскую компанию AppSee.
«Соответствие GDPR» скорее всего значит, что APpSee добавила галочки для закрытия полей плашками, и если разработчик их включит и настроит, то перс. данные не будут передаваться. А если не включит — то будут. То есть AppSee просто переложила ответственность на разработчика (и это правильно, так как AppSee это просто инструмент, который можно использовать по-разному).
Вы, увы, купились на эту фразу и интерпретируете «AppSee соответствует GDPR» как «приложение прошло проверку на соответствие строгим европейским законам», что неверно.
smurov
12.07.2018 16:08-2Никого не смутила регистрация автора?
Приглашён
12 июля 2018 в 10:13 по приглашению НЛО
v0l0diab
12.07.2018 16:27+2Как много адвокатов скрытой слежки, создается впечатление что половина отписавшихся — действующие или бывшие сотрудники РКН/МВД/ФСБ. Особенно умиляют «наезды» на автора по поводу его неосведомленности о работе аналитических сервисов, мол «добро пожаловать». Я вот например не в мобильной разработке, и про AppSee всякие тоже не в курсе. Как и сотни миллионов обычных пользователей. И, сдается мне, если у этих пользователей спросить про отношение к подобным действиям «в целях улучшения UI/UX», чуть более чем все будут недовольны. Зато GDPR, SOPA, PIPA и еще миллиард «законных» оснований, ага. А потом мы удивляемся, что государство видите-ли блокирует нам котиков.
jex
12.07.2018 17:28Зато GDPR, SOPA, PIPA и еще миллиард «законных» оснований, ага. А потом мы удивляемся, что государство видите-ли блокирует нам котиков.
И я о том же, теперь у следителей есть отмазка «да у нас всё по закону, вон GDPR всё соответсвует». Где гарантия, что appsee не отключит закрашивание у конкретного пользователя или у всех, но на пару часов?
StallinHrusch
12.07.2018 17:29«Наезды» тут в основном за то, что тут предполагается только наличие проверенной и достоверной информации. А автор, не разобравшись как следует в вопросе, просто нагнал чепухи. Если не разбираешься в теме — зачем пилить посты? (это я про автора)
nidalee
12.07.2018 22:55Потому что реакция неадекватная. Это как если бы начали вводить законы о «праве первой ночи» и им подобные, а народ через 10 законов спохватился бы: «КАК ПЕНСИИ ПОВЫСИТЬ? ДА КАК ВЫ СМЕЕТЕ?»
Следит каждый второй, если не первый. Что все возмущающиеся с этим сделали за последние 5 лет? Гуглом перестали пользоваться? Windows? Телефон на кнопочный поменяли? Здесь публика технически подкованная, поэтому процентов 5 ответят на все вопросы «да». Остальные возмущающиеся уже на первом остановятся. Про пользователей пикабу уже все сказали до меня.
И что самое смешное — повозмущаются, а завтра откроют гугл, какой-нибудь ebay с точно таким же сервисом аналитики и будут радоваться жизни.
Кто-то тут уже что-то с этим делает? Может, хотя быв спортлотопетиции пишут? Рейтинг приложению скрутили, отлично — теперь составляйте список всех приложений, которые это делают — и вперед. Что мешает?
Для вас стало открытием, что на многих сайтах стоят вебвизоры? Что android по умолчанию пишет историю передвижений (геолокации) за месяц?plMex
12.07.2018 23:16Для вас стало открытием,… Что android по умолчанию пишет историю передвижений (геолокации) за месяц?
Нет.
А вот какова будет ваша реакция, если сейчас, внезапно, выяснится что Google кроме этого ещё и ведёт конкретно за вашим телефоном (и его ближайшим окружением) круглосуточное видеонаблюдение при помощи спутников, дронов и камеры того же телефона?
Разумеется, только для уточнения ваших координат с целью улучшения своего сервиса GPS-позиционирования, которым вы пользуетесь для навигации. При этом вы с этим согласились сами, приняв пункт ToS «и другие доступные методы геолокации», так что он ничего не нарушает. Интимные моменты вашей жизни на видео он закрывает «чёрными прямоугольниками», так написано в технической документации для разработчиков API.nidalee
12.07.2018 23:19Зачем преувеличивать? За пределы телефона приложение БК не вылезает, как и большая часть приложений и сайтов (впрочем, не все, кто-то для слежки уже на ультразвук перешел, а кто-то в кино камерами записывает вашу реакцию и автоматически анализирует — так что вы поздно спохватились про видео).
Если окажется, что гугл пишет все происходящее на экране всегда — я даже не удивлюсь. В конце-концов звук он уже пишет.
Я не защищаю БК — меня просто искренне веселит тот факт, что (почти) все возмущающиеся намеренно или случайно игнорируют другие приложения, которые занимаются тем же самым. А если приложение не будет видео писать, а просто тупо отслеживать все нажатия и введенный текст — вам полегчает? Телефон вы вводили — он записан. Данные карты вы вводили — при желании — они записаны. Все без видео. Сильно лучше стало? Только если трафик похудел, но у вас претензии не к нему, как я понимаю.Sabubu
14.07.2018 01:35> Я не защищаю БК — меня просто искренне веселит тот факт, что (почти) все возмущающиеся намеренно или случайно игнорируют другие приложения,
Это аргумент ребенка «почему вы меня наказываете, другие ребята тоже хулиганили». Доберемся и до других приложений, слона надо есть по частям.nidalee
14.07.2018 01:37Готов поспорить, что даже с приложением БК в средне-срочной перспективе ничего не случится.
nidalee
14.07.2018 07:26И нет, для минусующих: я не оправдываю БК, у меня он не установлен, я никогда им не пользовался и не собираюсь (хватает терминалов).
Но когда вы закончите свою «войну» с БК, пожалуйста, задумайтесь: в каких еще приложениях слежка осталась. Я только за, если им законодательно запретят этим заниматься. Но им не запретят.
farwayer
12.07.2018 16:51Ну надо же: бургеркинг следит за приложением бергеркинга! Куда мир катится!
Так будет видео с данными банковской карты? Или лог тачей с этого экрана по которому можно определить данные?devalone
12.07.2018 17:43+1Ну надо же: бургеркинг следит за приложением бергеркинга! Куда мир катится!
проблема не в том, что следит, а в том, что тратит трафик(WiFi тоже не значит безлимит и бесплатно), ИМХО, подобная статистика должна отключаться в настройках, даже если они и замазывают на клиенте данные карты, не давать возможность отключить этот мусор просто некрасиво по отношению к пользователям
xBrowser
12.07.2018 18:13+4Никакой телеметрии не должно уходить с телефона пользователя, пока он явно не нажал кнопку «помогать проекту пользовательскими данными», «отправлять телеметрию». И точка.
Это должно быть применимо к любой программе и операционной системе. Иначе это не приведет не к чему хорошему.vikarti
12.07.2018 18:49Только по факту это означает для разработчиков кучу проблем с выяснением что же у пользователя не так пошло, пользователь напишет в отзыв в сторе «разработчики гады! падает на самсунг с8» и поди пойми что там. Даже на support@ не напишут. Вот и приходится заниматься сбором данных.
Что это приносит пользователю? Например — исправление крешей и не корректного поведения приложения, в том числе на редких устройствах.
С рекламой кстати это напрямую — не связано обычно. Для рекламы есть свои, отдельные SDK и правила пользования ими.
MacIn
12.07.2018 19:36Это их, разработчиков, проблема. Crash'у должен сопутствовать дамп со стеком вызовов, запись экрана — по запросу.
Welran
13.07.2018 15:55Ну формально вы правы. Это проблема разработчиков. И они даже будут как то решать эти проблемы, но не так хорошо как если бы у них была аналитика. И у вас на телефоне просто будет больше глючных приложений и вы даже начнете думать что если приложение упало всего один раз из 10 запусков то это отличное приложение.
Sabubu
12.07.2018 20:29-1Пусть они при запуске приложения просто спросят разрешение на видеозапись. Кто не даст разрешения, тот будет дольше ждать (или вообще не дождется) исправления бага.
А теперь подумайте, почему так не делают? Потому что во многих странах сейчас выгоднее обмануть пользователя, а не быть с ним честным. Мы видим тут дикий капитализм, такой же, как был когда-то в трудовой сфере до принятия законов о труде (да и сейчас много где практикуется, например в сфере пассажирских и грузовых перевозок, где не соблюдаются нормы труда и отдыха).
Надо менять ситуацию, чтобы такая тайная слежка была невозможной.falstaf
12.07.2018 20:36+1Я смотрю, клятые капиталисты — ваша излюбленная тема, почти в каждом своём комментарии упоминаете :)
Sabubu
12.07.2018 20:41-4Я использую слово капиталист только для обозначения «бизнес, который в погоне за прибылью готов переступить любые моральные рамки, стремится обхитрить потребителя (обманывать явно закон запрещает, но недоговаривать, прятать в длинных соглашениях и запутывать разрешает), затруднить получение полной информации, активно ведет пропаганду за т.н. свободный рынок и против госрегулирования, так как ему это выгодно». Одним словом будет короче.
По моему, это слово тут подойдет лучше всего. Я не сторонник коммунизма или диктатуры времен СССР.
Честный бизнес — это когда, например, человек печет хлеб без использования вредных компонентов, честно пишет его состав не мелким шрифтом и дату изготовления и честно продает. Нечестный — это когда банк или риэлтор стремится скрыть реальную стоимость сделки и вместо этого делает кучу сложных юридических документов с кучей условий и оговорок. И описывает сделку так, что может создаться ложное впечатление о ней. Вроде как все описано, но потом цена оказывается намного выше ожидаемой. Это и есть капиталисты.Fracta1L
13.07.2018 08:42+4Я использую слово капиталист только для обозначения «бизнес, который в погоне за прибылью готов переступить...
Для обозначения этого есть выражения «нечистые на руку бизнесмены», «грязный бизнес», и т.д. А то, чем занимаетесь вы — подмена понятий. С такими отмазками идите на пикабу, там любят слезливые крики о клятом капитализме.
vikarti
12.07.2018 20:41Они это кто? Разработчики BK? Ну да — для видео стоило бы галочку.
Или разработчики вообще?
В конкретно нашем случае — если галочку вводить то это +1 экран(потому что нет ничего похожего) (работа дизайнера + согласование с заказчиком) + править процедуру старта(Crashlytics не зря в самом начале, до всего остального инициализируют). Кто это будет оплачивать? Заказчик, после того как ему покажут эту статью и скажут что из-за наличия галочки — усложнится исправление ошибок? (особенно если ее сделать opt-in а не opt-out).Sabubu
12.07.2018 20:46Я работаю в индустрии разработки ПО и знаю стоимость такого экрана. Она копеечная в сравнении со стоимостью всего приложения, более того, он делается при желании на стандартных компонентах. Одна интеграция аналитики может больше стоить.
xBrowser
12.07.2018 21:20Если вы, допустим, разработчик и думаете о себе в первую очередь это можно понять. Ну да, вот баг сам на видео нашелся, я его быстро пофиксил. Но то, что разработчики выкачивают из пользователей гигабайты данных фактически обманывая, т.к. качая приложения для покупки еды (или любое другое, которое так или иначе тащит все с телефона/пк), я явно не буду ждать подвох с записью экрана/микрофона/камеры. И то, что использовать эти данные можно будет как в хороших так и в плохих целях, вам же тоже известно, правда?
Да и негативные отзывы о приложении будут в любом случае, что с телеметрией, что без.
buen0s
12.07.2018 18:11+4Господа и дамы, поддерживающие подобную аналитику. Позвольте задать вам вопрос. Что подобная слежка за мной принесет мне, пользователю? Насколько это оправдано? Что я получу, если разрешу Бургер Кингу «следить» за мной?
Пример номер один — Google Maps. Они собирают данные о том, где я нахожусь, и с какой скоростью перемещаюсь. Благодаря этому они в реальном времени показывают мне, Васе Пупкину, карту загрузки дорог, и это помогает мне экономить время. Удобно ли это для меня? Безусловно. Разрешу ли я Google Maps такую слежку за собой? Пожалуй, да.
Пример номер два — Бургер Кинг. Они сохраняют логи моей работы с их приложением и пишут видео экрана. Конечно же, с благородными целями — сделать свое приложение лучше. Что это говорит мне, пользователю? Что мне предлагается участвовать в отладке их не совсем доделанного аппликейшена, частично раскрывая им свои персональные данные. Что я от этого получу? Возможность заказать бургер, которая у меня есть и так. Соглашусь ли я на это? Пожалуй, нет. Как минимум, это для меня скучно и не интересно.
Логи того, что я делаю в приложениях Гугла, Яндекса или Бургер Кинга — это товар, создаваемый мной. Я готов продать данные о том, в каких кафе я был, и что я там заказывал, но не готов сообщать это бесплатно. Пользователь хочет получить адекватный сервис — или процент от денег, которые приложения заработают, собирая его данные. Зарабатываете, показывая мне рекламу? Поделитесь со мной, тогда я даже уберу Ad Blocker. Хотите обязать меня быть тестером вашего приложения, при этом еще и собирая мои данные? Нет уж, извольте. Баланс того, что получает Бургер Кинг, и что при этом предлагается мне, слишком смещен в их сторону.
forcam
12.07.2018 18:17-1А у них реально в пользовательском соглашении указан сбор видеоданных с устройства в момент использования приложения? Если это не указано явно, то коллективный иск и вперед:
— Ст. 23 Ч.1 Конституции РФ: «Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и достоинства».
— Ст. 24 Ч.1 Конституции РФ: «Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются».
— Ст. 151 ГК РФ гласит, что если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные неимущественные права либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом, суд может возложить на нарушителя обязанность денежной компенсации указанного вреда.
— Ст.152.1 Ч.1 Гражданского Кодекса РФ гласит: «Обнародование и дальнейшее использование изображения гражданина (в т.ч. его фотографии и видеозаписи) допускаются только с согласия этого гражданина».
— Ст.11 Ч.2 ФЗ РФ № 24-ФЗ от 20.02.95 г. «Об информации, информатизации и защите информации» гласит: «Не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну физического лица без его согласия, или на основании судебного решения».
Кстати, а данные РФ сервера отправляются? Если нет, то и по этому пункту статья найдется.
И да, любое Пользовательское соглашение считается ничтожным, если нарушает права страны, в которой данное соглашение пытаются использовать, так что то, что они там накалякали, это их дело, надо было начинать с УК РФ, в России, суд, с высокой долей вероятности должен встанет на сторону пользователя, ну в идеале) Мне бы, например, такая видеозапись принесла мучительные страдания, подглядывают что я там заказываю и как данные с карты ввожу))
WildLynxDev
12.07.2018 18:37Вопрос: Как определить что приложение под андроид использует appsee или что то аналогичное, не имея рута и не гоняя приложение на эмуляторе на компе?
vikarti
12.07.2018 19:00Конкретно appsee — а смотреть наличие трафика на их сервер.
Вообще же есть например Addons detector. Ставим, жмем 'сканировать'.
Если не хотите отсылать данные (за бесплатно включенный live scan) — жмете нет в ответ на запрос.
Ищем приложение нужное и смотрим раздел 'аналитика', в том же Burger King:Appsee, AppMetrica (если не знаем что это такое — кликаем и там будет описание и ссылка на вебсайт с описанием SDK, в данном случае это Яндекс.AppMetrica),Answers (по сути часть принадлежащего гуглу Fabric),Firebase Analytics (а вот это уже от гугла), затем смотрим раздел 'Отчет об ошибке' — и видим что у них Crashlytics (часть Fabric) и зачем и Hockeyapp ТОЖЕ.
Addons detector конечно показывает что есть а не что используется но вам сильно важно?
konchok
12.07.2018 18:48Давно и успешно использую XPrivacy для борьбы со всей этой «аналитикой». Очень чётко и сразу видно куда приложение пытается установить соединения, соотвественно всё кроме родного домена сразу в бан. Жаль говорят XPrivacy больше не работает на свежих Андроидах.
dartraiden
12.07.2018 19:25XprivacyLUA.
konchok
13.07.2018 21:31Попробовал XprivacyLUA, он вообще не ловит новые соединения от приложений. Галочка «резать аналитику» это несерьёзно, что он там режет и режет ли вообще понять невозможно.
dartraiden
13.07.2018 22:04он вообще не ловит новые соединения
Он этого и не обещает, потому что он не является файрволлом. Нет нужды делать комбайн, если эта функция уже отлично реализована в каком-нибудь AFWall.
Ещё можно посмотреть на Protect My Privacy, там заявлена не только блокировка доступа к сети, но и блокировка скриптов рекламных сетей.konchok
13.07.2018 22:10Ну вообще XPrivacy тоже не является файрволом в привычном понимании, тк перехватывает вызовы Андроид а не сетевой трафик. Все ненужные соединения ей блокируются тем не менее.
sbh
13.07.2018 08:233 одинаковых статьи в топе! Не многовато ли?!
Давайте яндекс-метрику обсудим еще.
ninJo
13.07.2018 10:14+1Я дизайнер пользовательских интерфейсов, запись экрана — распространенная практика для улучшения UX приложений, плюс можно поймать много багов таким образом. Я сам время от времени просматриваю подобные записи. Таким образом никто не украдет данные кредиток и личную информацию, поля ввода заблюрены. И происходит не конретная запись экрана в чистом виде, а сопоставление координат нажатий и поведения сайта/апликации, потом одно накладывается на другое и получается видео, нередко возникают некоторые артефакты. Я использую эти сервисы: www.hotjar.com, www.inspectlet.com
Ничего страшного не случится если кто-то увидит как Вы заказываете гамбургер, тем более не будет известно что это конкретно Вы сделали заказ. Из данных только девайс, разрешение экрана, страна и айпи адрес. Плюс в условиях приватности скорее всего есть такой пунктик, если нету то наверное можно подать иск.
Автор статьи раздул панику, чем-то напомнило russian reality.
Gorniv
13.07.2018 11:47-1на текущий момент вроде на 90% понятно что данные кредиток(важные) не утекают, НО народ сильно негодует что: «Боже мой, они пишут экран, они видят как я заказываю бургеры» — серьезно, вас ввергает в шок, что кто-то подсматривает, как Вы заказываете бургеры??? Это не браузер, не мессенджер, это приложение для покупки еды, какая проблема с тем что этот процесс кто-то увидит?
plMex
13.07.2018 12:49Сегодня они записывают как вы бургеры заказываете. Завтра они будут записывать как вы в WhatsApp общаетесь, чтобы расположение смайликов «оптимизировать». Но кого это должно смущать, мы же не террористы, верно?
Gorniv
13.07.2018 12:53Вы утрируете и передергиваете.
А сообщение про террористов это скорее отсылка к творчеству наших законодателей.plMex
13.07.2018 12:59Знаете, в школе мы друг другу рассказывали много смешных анекдотов про армию. А потом я, внезапно, обнаружил что большая часть из этого — это вовсе не анекдоты.
Так вот, оглядываясь сейчас вокруг, у меня складывается ощущение что любое «утрируете и передергиваете» через пару лет может оказаться вполне себе суровой действительностью.Gorniv
13.07.2018 13:41+2Всегда считал что в анекдотах про армию больше правды:D
Меня удивляет степень эмоциональности про запись экрана, а не высказывания о контроле данного процесса.
Я за более прозрачный подход — то есть чтобы нас спрашивали о возможности использовать данные о работе приложения, например, как это происходит при установке IDE.
Честно говоря я удивлен, что apple вообще позволяет apsee, а apsee позволяет НЕ скрывать поля ввода, но от habr я ожидал более профессиоанльной реакции, а большая часть комментариев похожи на комментарии с пикабу.
dartraiden
13.07.2018 22:13Завтра они будут записывать как вы в WhatsApp общаетесь, чтобы расположение смайликов «оптимизировать».
Если мне не изменяет память, без рута приложение не может записывать экран другого приложения. А если у вас рутованный аппарат и вы явно выдали приложению рут-права… ну, тут сам себе злобный Буратино, как говорится.plMex
13.07.2018 22:18Я имел в виду, что если завтра WhatsApp себе этот AppSee подключит для сбора статистики, чтобы «UI/UX улучшать», то эти люди снова скажут: «ну ок, записывает видео с экрана, и что?»?
vedenin1980
13.07.2018 14:53+1какая проблема с тем что этот процесс кто-то увидит?
Ест трафик (не каждый вайфай бесплатный, есть очень небесплатный), ест батарейку, передает координаты нажатия из которых в теории возможно получить набранный текст, включение и выключения сокрытия полей зависит только от доброй воли программистов на сервере (сейчас не пишет, а завтра захотел админ — стали писать).
Со всем этим еще можно смириться (в конце концов, они могли и просто собирать данные карт без стороних сервисов), если бы они хотя бы предупреждали и давали возможность выключить все эту фигню в настройках.Gorniv
13.07.2018 15:00+1я удивлен отсылками к пунктам про личную жизнь и неприкосновенность, отсылкам к конституции и ворох эмоциональности про вторжение к ним в жизнь.
Если бы писали про трафик и нагрузку, а так же обсуждали техническую и поведенческую модель управления доступом к аналитики(и записи) — было бы понятно и правильно.plMex
13.07.2018 15:12я удивлен отсылками к пунктам про личную жизнь и неприкосновенность, отсылкам к конституции и ворох эмоциональности про вторжение к ним в жизнь.
Ну, представьте себе очень полную девочку, которая очень недовольна своим телом, но не может отказаться от вредной привычки жрать бургеры и заедать их картошкой фри. И тут она узнаёт что мало ей этих проблем, так ещё какие-то левые люди наблюдают как она, мучаясь от осознания своего падения, делает заказ в бургеркинге! А может они ещё и ржут над ней при этом! Как она нерешительно водит пухленьким пальчиком по экрану, пытаясь пересилить своё желание и как, сдавшись, тыкает в кнопку «заказать». Это ли не адский стресс? Это ли не вторжение в частную жизнь?!
P.S: Да, обезличено, да без привязки к пользователям и всё такое. Но вы пользователям это объясните, особенно далёким от IT в принципе.vedenin1980
13.07.2018 15:16вы пользователям это объясните, особенно далёким от IT в принципе
Боюсь пользователи, далекие от ИТ, услышав словосочетание «пишет экран», уверены, что их просмотр гейпорно в соседнем приложении вместе с личными данными давно уже в руках админов БК.plMex
13.07.2018 15:22Именно поэтому, когда вы тайком от пользователя собираете «аналитику» путём записи экрана и подобных методов, необходимо быть готовым к такой реакции пользователей на любое подобное «разобралачение». И оценка 2.8 у приложения в GPlay — заслуженный итог.
Gorniv
13.07.2018 16:07+2А разве размещение ссылки(на блог автора) разрешено не в хабе «Я пиарюсь» и тлоько при наличии кармы больше 30?
P.S.
пожертвования автору — в биткоинах :D
FreeManOfPeace
13.07.2018 16:54+1А я всегда считал что специфические приложения для каждого сайта/сервиса и т.п. зло. Мало того что оно занимает память (хотя большинство, а то и все его функции можно было бы покрыть с помощью браузера), так ещё и делает на устройстве чёрти что. Стараюсь ничего такого не ставить, а если возникла необходимость, ограничивать в правах и после пользования сразу удалять.
vrag86
А как вы просниффали траффик. Он не шифруется?
Scrloll
Судя по интерфейсу это Fiddler. Скорее всего запущен эмулятор Андройда с ПК.
fennikami Автор
Подмена сертификата во время перехвата трафика. Cert pinning нет.
ragimovich
Парень, а шаг с установкой Fiddler CA в систему ты пропустил? К чему твои повторяющиеся "нет certificate pinning"? Ты понимаешь вообще, для чего нужен CP или просто услышал где-то, что это круто (полагаю, CP мешает тебе "ковырять приложения" и вызывает чувства сходные с благоговением — это ведь магия, раз фиддлером не поснифать трафик!)? В браузерах его в принципе нет, но что-то никто на эту тему не парится, но при этом люди спокойно вводят данные своих кредиток.
nafgne
это на пикабу в комментариях сказали просто <_<
mayorovp
Что значит «повторяющиеся нет certificate pinning»? Где еще они повторяются?
rogoz
А это не оно? en.wikipedia.org/wiki/HTTP_Public_Key_Pinning
inkvizitor68sl
Это труп, который не работает.
granade18
Да ладно, молодой кулхацкер нашел первую более менее нормальную "фичу" в своей жизни, расфорсил её, даже сделал свой мини блог под это дело) так бывает с кулхацкерами) простим ему это