Geekly articles weekly

Une fable sur Burger King et les données des utilisateurs. Commentaires des développeurs



Bonjour, Habr! Nous sommes e-Legion, le développeur de l'application mobile Burger King. Nous écrivons ce billet pour rassurer tous ceux qui s'inquiètent des données de leurs cartes bancaires et expliquer comment et pourquoi les données sont collectées sur les écrans des utilisateurs.

Acteurs:

Burger King est le propriétaire de l'application, qui a choisi le système d'analyse AppSee pour travailler.

e-Legion est un développeur d'applications qui a reçu des clés du SDK AppSee de Burger King et les a intégrées dans l'application.

Appsee est un service analytique qui collecte des données statistiques, les transfère et les stocke sous une forme sûre, mais est néanmoins suspect.

fennikami - comme il l'a dit sur lui-même: 18 ans, probablement barbu, choisit différentes applications pendant son temps libre

Utilisateurs indignés - 3 millions de personnes, indignées que leurs informations de carte bancaire pourraient tomber entre les mains des attaquants.

PROLOGUE


Il est apparu sur Pikabu le 11 juillet, et un message a été dupliqué sur Habr le 12 juillet, dans lequel l'utilisateur fennikami examine les données de trafic de l'application mobile Burger King et conclut qu'il est surveillé: ils enregistrent des vidéos de l'écran lorsqu'il entre ses données de carte bancaire, puis transmettre ces informations à des tiers.

Cette information a indigné les utilisateurs de l'application et a excité les médias. Des dizaines de publications avec des titres sur le vol d'identité et des centaines de lettres à Burger King avec une demande de commenter ce qui a été écrit dans le message.

ACTE I. Où Appsee enregistre l'écran de l'utilisateur et transfère l'enregistrement à Burger King


Toutes les applications sont testées pendant le développement et si des bogues y sont détectés, les testeurs rédigent des rapports de bogues pour les développeurs. Les développeurs corrigent toutes ces erreurs et les testeurs vérifient à nouveau l'application pour ces erreurs.

Certaines erreurs peuvent ne pas être détectées lors de la phase de test, et certaines ne peuvent pas être prévues, et des erreurs se produisent déjà pour les utilisateurs, par exemple, l'application se bloque. Ensuite, le système d'analyse vient à la rescousse. Après tout, les utilisateurs ne nous écriront pas de rapports de bogues, et grâce au système d'analyse, Burger King verra des erreurs, et nous serons en mesure de les corriger afin que votre application fonctionne de manière stable.

L'application mobile Burger King utilise l'un des services de collecte et d'analyse de statistiques les plus connus Appsee. Les statistiques sont collectées uniquement dans le but d'analyser la qualité de l'application, d'identifier et d'éliminer les éventuelles erreurs, urgences, etc. Comme pour toute statistique, les indicateurs de masse sont importants ici. À cet égard, les données confidentielles des utilisateurs privés ne présentent aucun intérêt et ne sont pas collectées.

L'une des caractéristiques importantes des statistiques Appsee est l'enregistrement vidéo à partir de l'écran lorsque l'application est en cours d'exécution. Cela vous permet de fournir un support technique pour l'application à un niveau significativement plus élevé, pour détecter et éliminer diverses lacunes.

La préoccupation des utilisateurs concernant la collecte de statistiques et en particulier l'enregistrement vidéo est compréhensible. Voyons comment cela se produit et quelles données finissent par entrer dans le système d'analyse.

  1. L'enregistrement et la transmission vidéo sont effectués par environ 10% des utilisateurs sélectionnés au hasard.
  2. L'enregistrement et la transmission vidéo s'effectuent exclusivement avec une connexion Wi-Fi et ne sont jamais effectués via les réseaux mobiles. www.appsee.com/tutorials/recording-settings
  3. L'enregistrement vidéo est effectué avec une qualité extrêmement faible pour assurer une petite charge sur les ressources de l'appareil et les canaux de transmission de données.
  4. Lors de l'enregistrement d'une vidéo, tous les champs de saisie de données, mots de passe et images de caméra sont automatiquement masqués. En analytique, ils sont visibles sous forme de rectangles noirs.


Capture d'écran du panneau de configuration Appsee. Les champs de saisie sont fermés par des rectangles noirs.

ACTE II. Où nous voyons comment les données sont cachées et analysons les captures d'écran de Pikabu


Appsee, en tant que très grande entreprise sur le marché, respecte strictement toutes les lois existantes sur l'utilisation des données personnelles et autres utilisateurs. En particulier, les exigences européennes du RGPD, qui sont beaucoup plus strictes que celles de la Russie.

Le SDK Appsee reconnaît et masque automatiquement tous les champs de saisie de données, mots de passe et images de caméra. Cela peut être vu sur l'écran du très fennikami - l'auteur du message sur Pikabu. Deux lignes qui indiquent que tous les champs sont masqués sur le client lui-même lors de l'enregistrement vidéo:


Capture d'écran fennikami d'un post sur Pikabu

Le masquage des données est automatiquement enregistré dans le code d'application. Et le SDK Appsee fonctionne de telle manière que les champs contenant des données personnelles sont masqués avant que les entrées ne quittent l'appareil mobile. Assurons-nous de cela.

Acte III. Où nous comparons les enregistrements sur le téléphone et dans le système d'analyse


La vidéo est toujours sur le téléphone



Merci pour la vidéo norver , qui a vérifié quelles données sont vraiment envoyées au serveur Appsee dans son message

La vidéo est arrivée à Appsee



Vidéo enregistrée à partir du panneau de configuration Appsee

Acte IV. Où résumer et récompenser Fennikami pour sa curiosité


Vos données sont en sécurité car:

  • Le masquage des données personnelles lors de l'enregistrement de vidéos à des fins d'analyse est écrit dans le code d'application. Les données sont masquées avant de quitter l'appareil mobile.
  • Burger King, e-Legion et Appsee n'ont pas accès aux données bancaires des utilisateurs. Ces données ne sont pas enregistrées, stockées ou transférées à des tiers.
  • Burger King ne reçoit que le nom, l'adresse e-mail et le numéro de téléphone de l'utilisateur conformément à l'accord d'utilisation: burgerking.ru/legal_for_app
  • L'enregistrement vidéo à partir des écrans permet de collecter des statistiques afin d'améliorer l'application.
  • Appsee adhère strictement à toutes les lois existantes sur le travail avec les données personnelles des utilisateurs. Cela est indiqué dans leur politique: www.appsee.com/legal/privacypolicy
  • Le transfert de données vers le service d'analyse Appsee s'effectue uniquement via Wi-Fi et ne consomme pas de trafic mobile

Nous voulons exprimer notre respect à l'auteur de l'article sous le surnom de fennikami pour avoir été curieux des données de demandes / réponses. Néanmoins, vous ne devez pas déclencher l'alarme avant d'apprendre toutes les fonctionnalités de la bibliothèque ou du SDK.

Nous allons enseigner cela - nous vous donnons une formation gratuite à l'Académie e-Legion . Choisissez une spécialité et écrivez à sv@e-legion.com pour avoir accès au programme.

Source: https://habr.com/ru/post/fr417043/

More articles:


All Articles