Geekly articles weekly

Una fábula sobre Burger King y los datos del usuario. Comentarios del desarrollador



Hola Habr! Somos e-Legion, el desarrollador de la aplicación móvil Burger King. Estamos escribiendo esta publicación para tranquilizar a todos los que están preocupados por los datos de sus tarjetas bancarias y explicar cómo y por qué se recopilan los datos de las pantallas de los usuarios.

Actores:

Burger King es el propietario de la aplicación, que eligió el sistema de análisis AppSee para trabajar.

e-Legion es un desarrollador de aplicaciones que recibió claves de AppSee SDK de Burger King y las integró en la aplicación.

Appsee es un servicio analítico que recopila datos estadísticos, los transfiere y los almacena de forma segura, pero sin embargo está bajo sospecha.

fennikami : como dijo sobre sí mismo: 18 años, probablemente barbudo, elige diferentes aplicaciones en su tiempo libre

Usuarios indignados : 3 millones de personas, indignados de que la información de su tarjeta bancaria pueda caer en manos de los atacantes.

PROLOGO


Apareció en Pikabu el 11 de julio, y una publicación se duplicó en Habr el 12 de julio, en la que el usuario de fennikami examina los datos de tráfico de la aplicación móvil Burger King y concluye que están siendo observados: graban videos desde la pantalla cuando ingresa los datos de su tarjeta bancaria, y luego transmitir esta información a terceros.

Esta información indignó a los usuarios de la aplicación y entusiasmó a los medios. Docenas de publicaciones con titulares sobre robo de identidad y cientos de cartas a Burger King con una solicitud para comentar sobre lo que se escribió en la publicación.

ACTO I. Donde Appsee graba la pantalla del usuario y transfiere el registro a Burger King


Todas las aplicaciones se prueban durante el desarrollo y si se encuentran errores en ellas, los evaluadores escriben informes de errores para los desarrolladores. Los desarrolladores corrigen todos estos errores y los probadores vuelven a verificar la aplicación en busca de estos errores.

Es posible que algunos errores no se noten en la etapa de prueba, y algunos no se pueden prever, y los errores ya ocurren para los usuarios, por ejemplo, la aplicación falla. Entonces el sistema de análisis viene al rescate. Después de todo, los usuarios no nos escribirán informes de errores y, gracias al sistema de análisis, Burger King verá errores y podremos corregirlos para que su aplicación funcione de manera estable.

La aplicación móvil de Burger King utiliza uno de los servicios de recopilación y análisis de estadísticas más famosos de Appsee. Las estadísticas se recopilan únicamente con el fin de analizar la calidad de la aplicación, identificar y eliminar posibles errores, emergencias y similares. Como con cualquier estadística, los indicadores de masa son importantes aquí. Cualquier información privada confidencial del usuario, a este respecto, no es de interés y no se recopila.

Una de las características importantes de las estadísticas de Appsee es la grabación de video desde la pantalla cuando la aplicación se está ejecutando. Esto le permite proporcionar soporte técnico para la aplicación a un nivel significativamente más alto, para detectar y eliminar varias deficiencias.

La preocupación del usuario sobre la recopilación de estadísticas y especialmente la grabación de video es comprensible. Veamos cómo sucede esto y qué datos finalmente ingresan al sistema de análisis.

  1. La grabación y transmisión de video es realizada por aproximadamente el 10% de los usuarios seleccionados al azar.
  2. La grabación y transmisión de video se realiza exclusivamente con una conexión Wi-Fi y nunca se realiza a través de redes móviles. www.appsee.com/tutorials/recording-settings
  3. La grabación de video se realiza con una calidad extremadamente baja para garantizar una carga pequeña en los recursos del dispositivo y los canales de transmisión de datos.
  4. Al grabar un video, todos los campos de ingreso de datos, contraseñas e imágenes de la cámara se ocultan automáticamente. En análisis, son visibles como rectángulos negros.


Captura de pantalla del panel de control de Appsee. Los campos de entrada están cerrados por rectángulos negros.

ACTO II. Donde vemos cómo se ocultan los datos y analizamos capturas de pantalla de Pikabu


Appsee, como una compañía muy grande en el mercado, se adhiere estrictamente a todas las leyes existentes sobre el trabajo con datos personales y de otros usuarios. En particular, los requisitos europeos GDPR, que son mucho más estrictos que los rusos.

Appsee SDK reconoce y oculta automáticamente todos los campos de ingreso de datos, contraseñas e imágenes de la cámara. Esto se puede ver en la pantalla del mismo fennikami , el autor de la publicación en Pikabu. Dos líneas que dicen que todos los campos están ocultos en el cliente al grabar video:


Captura de pantalla de fennikami de una publicación en Pikabu

La ocultación de datos se registra automáticamente en el código de la aplicación. Y Appsee SDK funciona de tal manera que los campos con datos personales se ocultan antes de que las entradas salgan del dispositivo móvil. Asegurémonos de esto.

Acto III. Donde comparamos registros en el teléfono y en el sistema de análisis


El video todavía está en el teléfono.



Gracias por el video norver , que verificó qué datos se envían realmente al servidor Appsee en su publicación

El video llegó a Appsee



Video grabado desde el panel de control de Appsee

Acto IV. Dónde resumir y premiar a Fennikami por curiosidad


Sus datos están seguros porque:

  • Ocultar datos personales al grabar video para análisis está escrito en el código de la aplicación. Los datos están ocultos antes de abandonar el dispositivo móvil.
  • Burger King, e-Legion y Appsee no tienen acceso a los datos bancarios de los usuarios. Estos datos no se registran, almacenan ni transfieren a terceros.
  • Burger King recibe solo el nombre, correo electrónico y número de teléfono del usuario de acuerdo con el Acuerdo de usuario: burgerking.ru/legal_for_app
  • La grabación de video desde las pantallas ayuda a recopilar estadísticas para mejorar la aplicación.
  • Appsee se adhiere estrictamente a todas las leyes existentes sobre el trabajo con datos personales de los usuarios. Esto se afirma en su política: www.appsee.com/legal/privacypolicy
  • La transferencia de datos al servicio de análisis de Appsee se realiza solo a través de Wi-Fi y no consume tráfico móvil

Queremos expresar respeto al autor del artículo bajo el apodo fennikami por tener curiosidad por los datos de las solicitudes / respuestas. Sin embargo, no debe hacer sonar la alarma antes de aprender todas las características de la biblioteca o SDK.

Le enseñaremos esto: le brindamos capacitación gratuita en la Academia e-Legion . Elija una especialidad y escriba a sv@e-legion.com para obtener acceso al plan de estudios.

Source: https://habr.com/ru/post/es417043/

More articles:


All Articles