Burger King и тайная запись экрана вашего телефона

[vrag86]

А как вы просниффали траффик. Он не шифруется?

[Scrloll]

Судя по интерфейсу это Fiddler. Скорее всего запущен эмулятор Андройда с ПК.

[fennikami]

Подмена сертификата во время перехвата трафика. Cert pinning нет.

[ragimovich]

Парень, а шаг с установкой Fiddler CA в систему ты пропустил? К чему твои повторяющиеся "нет certificate pinning"? Ты понимаешь вообще, для чего нужен CP или просто услышал где-то, что это круто (полагаю, CP мешает тебе "ковырять приложения" и вызывает чувства сходные с благоговением — это ведь магия, раз фиддлером не поснифать трафик!)? В браузерах его в принципе нет, но что-то никто на эту тему не парится, но при этом люди спокойно вводят данные своих кредиток.

[mayorovp]

Что значит «повторяющиеся нет certificate pinning»? Где еще они повторяются?

[rogoz]

В браузерах его в принципе нет

А это не оно? en.wikipedia.org/wiki/HTTP_Public_Key_Pinning

[inkvizitor68sl]

Это труп, который не работает.

[granade18]

Да ладно, молодой кулхацкер нашел первую более менее нормальную "фичу" в своей жизни, расфорсил её, даже сделал свой мини блог под это дело) так бывает с кулхацкерами) простим ему это

[Hoffmaestro]

Подобных мерзостей от этой компании и ожидал, поэтому не доверил им даже номер телефона.
Кто-нибудь знает, возможно ли в условиях российской действительности устроить для компании какие-нибудь проблемы и вообще ответственность за подобное поведение?

[ankh1989]

Запросто. Запостить на реддит.

[headless_horseman]

Пишите в r/privacy
Они поднимут

[fennikami]

Скорее авто-модератор. С Реддитом намучался в свое время из-за этого.

[W0xel]

Каких мерзостей? Человек залез в код, удалил сертификат, запустил приложение на эмуляторе. О чем речь? Вы осознаёте, что любой код можно переписать так, чтобы в него можно было вмешиваться?

[vaizmanai]

Как удаление сертификата оправдывает слежку за экраном пользователя без его ведома?

[W0xel]

Вы определитесь куда камнями кидать уже. Или в отсутствие шифрования, или в уязвимость, или в запись экрана.

[vaizmanai]

Прошу прощения, не уловил тред про открытое соединение.

[Carburn]

В запись экрана, офк

[mayorovp]

А кто тут кидается камнями в отсутствие шифрования? В упор не вижу…

[Ipeacocks]

Не валяйте дурака :)
Что плохого в бросании камней за всё?

[fennikami]

Я ничего не удалял, если что.

[Sabubu]

Вот-вот, меня удивляет, у нас ведь по закону запрещено скрытое наблюдение, и даже покупка устройств для этого, а тут компания устраивает скрытую запись экрана пользователя. Было бы конечно хорошо, если какой-нибудь РКН взбесился и хоть раз сделал бы что-то полезное. Пусть разработчики испытают на себе то же, что и люди, заказывающие ручки с видеокамерой.

[AlexRed]

Пользователь сам дает согласие на такую запись. ToS никто не отменял — еще скажите, что Windows не предупреждает, что следит)
p.s. " люди, заказывающие ручки с видеокамерой" — это зона ответственности не РКН, а ФСБ)
А так любой желающий может накатать жалобу РКН на Бургер Кинг, но ответ будет очевидным — с точки зрения бумажного законодательства все четко, вы сами соглашаетесь с условиями использования приложения, а технически РКН не проверит так ли честны разрабы или нет.

[Sabubu]

Есть же простое и этичное решение проблемы. Показать при первом запуске приложения попап с иконкой видеокамеры и надписью: «В целях улучшение приложения мы бы хотели вести видеозапись вашей активности в нем. Разрешить? Да/нет».

Почему они так не делают? Потому, что они не хотят, чтобы 1) у пользователя был выбор 2) он вообще об этом знал.

Это неправильно, должно быть наоборот.

То, что вы предлагаете — «читать ToS» — это предложение жить в мире, где все пытаются друг друга обмануть и перехитрить. Где приходя в ресторан или гостиницу, вам придется прочитать целиком все юридические документы (а вдруг там написано, что вы обязаны потом пожизненно им платить за один раз оказанную услугу), где вам придется в автосалон или на собеседование на работу ходить с юристом (там вообще куча вариантов обмана). Где честный бизнес не может соревноваться с наперсточниками.

Мне это не нужно. Мне нужен мир, в котором я могу пользоваться любыми приложениями и услугами, и знать, что они не будут следить за мной, а если попытаются, то их настигнет карающая рука закона. Где торговцев персональными данными преследуют сильнее чем торговцев наркотиками.

[Ipeacocks]

> вы сами соглашаетесь с условиями использования приложения
т.е. по-вашему туда можно написать все что угодно и законодательно это будет ОК, потому что нажали соглашение?

[vikarti]

Как бы — AppSee в том числе для этого и предназначена. Как и например — TestFairy.
Оно полезно при разработке.
Другое дело что вменяемые разработчики на экранах вроде вводе данных кредитки — выключают запись. Да и вообще используют такие вещи на альфа/бета-версиях.
У AppSee же — Which sessions will be video recorded?
Appsee automatically selects the sessions to record in order to provide a sufficient sample of your users. You can also manually select which sessions will be video recorded.

Ну с другой стороны — считают что эти данные им нужны для отладки. А вы с этим — согласились (хотя вот ОЧЕНЬ интересно — если утекут номера кредиток через AppSee — Бургеркинг готов отвечать за это?).

p.s.
Сейчас пишу приложение, номеров кредиток там и близко нет (как и медицинских например данных) но есть данные которыми возможно пользователи не захотят делится даже с другими пользователями (сколько и за что они заработали).
В лог пишется в том числе весь сетевой (расшифрованный) сетевой обмен, при сбоях — последние несколько десятков килобайт логов — улетают в Crashlytics.
Не раз выручало при выяснении что не так.
Но если таким способом что-то секретное утечет через нашу компанию — сначала этот клиент по шее даст компании, а и мне (или другим разработчикам с доступом) прилетит. NDA подписаны и там санкции прописаны.

[roryorangepants]

Мне кажется, что сервисы типа AppSee и TestFairy в целом предназначены в первую очередь для тестовых сессий (например, тестировщик случайно крашнул приложение, а потом по видео смог восстановить свои шаги), а не для массового использования в проде.

[Meklon]

А выложи-ка само видео? Кстати, ты говорил, что оно еще и прикосновения пишет параллельно?

[u4b]

У него нет такого видео. Автор просто соврал. На Пикабу эту историю успешно схавали. Если тут тоже схавают без фактчека — будет смешно.

appsee блюрит поля ввода. Так что данные карты не видны.

[fennikami]

AppSee замазывает поля только если это указать отдельно.

[aobondar]

Да именно так. Вы проверили что в приложении BK они не замазываются? Или это из серии «а если бы вот они не замазывали — они бы получили данные»

[arbalet42]

И… Это всё, что Вы можете на это сказать? Что сервис записи видео замазывает поля ввода?

А то, что программа заказа бургеров без разрешения и огласки записывает экран — это, типа, нормальное поведение?!

Данный функционал должен быть отражен в списке разрешений. Чтобы я его мог отключить.

[u4b]

А Хабр использует Яндекс метрику с флагом webvisor:true и тоже нигде об этом не пишет.
Скорее закрывайте браузер!

*сарказм*

[Sabubu]

Скорее принимайте законы о защите приватности :)

[FlameInTheDark]

Уже приняли закон о отмене приватности, сарян.

[XanKraegor]

В приложении тоже можно порубить «оналитику», если, например, использовать свой DNS.

[Ipeacocks]

Да, а потом Хабр просит не юзать Адблок. Да и вообще если Хабр это делает, это не значит, что Бургер тоже это делать может.

[dtBlack]

А аналитику рубит не Адблок, а Ghostery и подобные приложения про них Хабр ничего не просит.

[Ipeacocks]

Ну ublock вроде как блочит аналитику. Хотя нужно это узнать точно.

[Frankenstine]

Блочит.

EasyPrivacy

[Adblock Plus 1.1]
! Version: 201807170422
! Title: EasyPrivacy
! Last modified: 17 Jul 2018 04:22 UTC
! Expires: 4 days (update frequency)
! Homepage: easylist.to
! Licence: easylist.to/pages/licence.html
!
! Please report any unblocked tracking or problems
! in the forums (https://forums.lanik.us/)
! or via e-mail (easylist.subscription@gmail.com).
!
! -----------------General tracking systems-----------------!
! *** easylist:easyprivacy/easyprivacy_general.txt ***
&action=js_stats&
&callback=hitStats_
&ctxId=*&pubId=*&clientDT=
&ctxId=*&pubId=*&objId=
&event=view&
&http_referer=$script
&pageReferrer=
&ref=*&tag=
&refer=http$script
&refererPageDetail=
&trackingserver=
-AdTracking.
-analitycs//fab.
-analitycs//ga.
-analitycs//metrica.
…
/yandex-metrica-watch/*
/yandex-metrika.js
/yastat.js
…
||yandex-metrica.ru^$third-party
…
||an.yandex.ru^
…
||mc.yandex.ru^
… итд

[aobondar]

если вы почитаете ToS BK, то увидите что вы даете разрешение на доступ к этим данным. И с добрым утром, такая телеметрия есть в любом продвинутом приложении. Хорошо это или плохо — это отдельный вопрос.
Но автор несет чушь.
— Утверждает, что AppSee может слить эти данные — но в PP сервиса указано, что доступ к этим данным имет толкьо их сервис провайдеры типо хостеров и т д.
— Утверждает что на запись попадают данные карт. Но не предоставил пруфов, что в видео действительно уходят данные карт не заблюренные.

[Sabubu]

> Утверждает, что AppSee может слить эти данные — но в PP сервиса указано, что доступ к этим данным имет толкьо их сервис провайдеры типо хостеров и т д.

Ну вот фитнес-трекер слил расположение военных баз например, хотя у него тоже была privacy policy и прочие имитирующие саморегулирование документы. Тут нужен государственный кулак, без него капиталистов в погоне за прибылью не угомонить.

> сли вы почитаете ToS BK, то увидите что вы даете разрешение на доступ к этим данным.

Это неправильно. Рекламировать приложение как способ удобного заказа бургеров, а по факту следить за пользователями. Почему они в рекламе это не пишут, а прячут в ToS?

Вот представьте, вы будете покупать машину, а в автосалоне вам в договор припишут мелким шрифтом, что это не продажа машины, а сдача ее в аренду на месяц за полную стоимость. Или что предоплата в размере 30%, которую вы внесли, не входит в стоимость машины, а лишь оплачивает ее демонстрацию вам. Или вам предложат купить лекартсво, излечивающее болезнь, а в договоре мелким шрифтом напишут, что это просто витамины и что согласно научным исследованиям они действительно улучшают здоровье.

Вы наверно скажете, что это нормально, что надо читать договор, но вот правоохранительные органы могут такое квалифицировать как мошенничество. Думаю, и с тайной слежкой должно быть то же самое. У нас ведь запрещен оборот устройств (а хотят добавить сюда и программы) для скрытой съемки, а с точки зрения пользователя, это и есть скрытая съемка экрана.

Капиталисты сами себя не урегулируют — они напишут в ToS что вы обязаны продать им душу — потому нужен государственный кулак, который будет над ними висеть. Мы видим, к сожалению, что другие варианты не работают.

[AndrewFe]

Абстрагируясь от сути топика.
Если уходить в правовое поле — есть нормативные акты, регулирующие правила написания контрактов и соглашений. При их нарушении крупную интернациональную корпорацию заставят принять противоестественную позу и выплатить ВЕСЬМА ощутимый штраф.
Или Вы думаете что у компании уровня бургеркники юристы уровня «папа протащил на юрфак»?

[aobondar]

Если тут тоже схавают без фактчека — будет смешно.

И судя по рейтингу статьи вполне себе схавали. Ну раз в статье джейсоны, и скрины админских тулзов — значит серьезное расследование, зачем разбираться. Очень обидно за хабр.

[Sabubu]

А компания Burger King как рекламирует свое приложение? Как приложение для желающих бесплатно поработать тестером и разрешить запись их экрана или как приложение для заказа бургеров? По моему, это разные вещи.

Это и есть обман. Есть мошенники, которые продают пенсионерам за огромные деньги витамины под видом лекарств для их болезни, а есть компании, которые обещают одно, а тайком делают другое.

Мне, наоборот, непонятна логика тех, кто это защищает. Вам нравится, что компании следят за вами и ущемляют ваши права — это, конечно, ваше дело, но почему от этого должны страдать другие?

> Хрен с ним, что приложение прошло AppStore Review и у него есть разработчик с именами и фамилиями.

И? это говорит лишь о том, что AppStore Review не очень беспокоит приватность пользователей, если ее нарушение прописано где-то в глубине ToS.

[Kemper]

Господа… надеюсь тут все разработчики и мы все прекрасно понимаем, что нельзя отловить все баги на этапе тестирования. Конечные пользователи не умеют писать багрепорты (единицы на самом деле). Они будут в комментах паниковать и орать.
Что в таком случае вы предлагаете делать?

[BingoBongo]

Все критические баги найти более чем реально, либо вы не тестированием, а неизвестно чем занимаетесь. Обычно, баги, которые не удалось отловить на этапе тестирования, повторить тяжело в принципе, даже имея видео. AppSee больше нацелено на замену рядовых тестировщиков.

Они будут в комментах паниковать и орать.
Что в таком случае вы предлагаете делать?

Как разработчик вы должны знать, что в комментах всегда кто-то будет орать и паниковать.

[jok40]

Не представляю, как видео с экрана может помочь выловить баги. Это должны быть баги размером с паровоз. Копить логи на дивайсе, а при крэше приложения сливать их на сервер — решение гораздо более полезное во всех отношениях. Можно даже не сразу сливать, а только по команде с сервера.

[Kemper]

Я лично видео + логи сопоставляю. Пару раз помогло отловить серьёзные баги, которые на этапе внутреннего тестирования не заметили. И это не вина тестировщиков. Баги были нереально редки и встречались только на определённом железе еще. Бывает всякое.

БГ нужно было оповестить о том, что есть запись видео и её можно отключить в настройках.

[aobondar]

Вы явно не разрабаотывали мобильного приложения с большим количеством юзер-путей. С логами всегда одна и та же проблема — либо они избыточно подробные, и их невозможно адекватно анализировать, либо слишком скупы. Да и на этапе разработки не всегда очевидно какие данные в логах понадобятся для дальнейшего анализа. А вот записанный сценарий использования — отличное подспорье для воспроизведения бага.

[MacIn]

Как вариант — запись видео по запросу пользователя. Увидел какую-то проблему (не crash — он должен ловиться dump'ами) — залез в менюшку — отослать bug report, по запросу начинается запись экрана и в конце отправляется разработчику.

[Welran]

Когда баг произошел видео записывать уже поздновато. Запись видео частенько помогает отловить странные и трудновоспроизводимые баги.

[Sabubu]

При запуске приложения показать попап и попросить разрешение на видеозапись экрана для улучшения приложения. Предложить варианты выбора «да» и «нет».

Будет 100% этичное решение, и в тестировании будут участвовать только те, кто хочет.

[fennikami]

Не было никакого «крыжика».

[Sabubu]

А вы, когда в ресторан приходите или в гостиницу заселяетесь, читаете все юридические документы? Не боитесь, что там будет «оформляя заказ, Клиент дает неотзываемое согласие на вступление и ежемесячную оплату взносов Клуба Успешных Людей. В случае нежелания вступать в Клуб, Клиент обязан покинуть заведение до оформления заказа»?

А когда врач вам выписывает лекарство, вы читаете все документы? Не боитесь, что вам выпишут витамин C по завышенной цене и постелят соломку в пользовательском соглашении?

Ну и машину вы конечно пойдете покупать только в компании юриста, да?

Вы предлагаете идиотизм — обязать всех читать длинные юридические документы (а они будут длинными, я вам гарантирую) и разрешить обманывать не читающих их людей. А надо, чтобы никого нельзя было обманывать.

[Sabubu]

Я предлагаю адекватное госрегулирование, которое работает и проверено временем. К чему приводит отсутствие регулирования, мы уже увидели — бесконтрольные сбор и накопление перс. данных, утечки, скандалы.

Это же не моя вина, что компании не могут без закона сами выработать адекватные правила обращения с перс. данными и правила раскрытия информации.

> Не беспокойтесь, совсем бреда в капиталистических договорах не напишут, иначе найдётся какой-нибудь совсем обиженный капиталистический пользователь, который засудит эту большую компанию на большую сумму денег

А почему? Потому что приняты специальные законы на эти случаи. Вы удивитесь, сколько различных законов напринимали, например, в позиционируемой как «самая свободная» стране США.

Ну так давайте сделаем то же самое и для любителей прятать разрешение на слежку в ToS. Чтобы попытка обхитрить пользователя программы расценивалась судом так же, как попытка обмануть пациента или покупателя автомобиля всякими скрытыми комиссиями.

[Sabubu]

Конституция дает только общее описание государственного устройства, а конкретизируется оно законами. Ну например, конституция не указывает, каким образом должно быть получено «согласие» на распространение данных — а капиталисты естественно заинтересованы в том, чтобы прописать это согласие в глубине пользовательского соглашения на 10000 слов.

Потому закон, который запретит такие трюки, несомненно, будет полезен.

Разумеется, хороший закон написать трудно, так же, как и написать хороший код. Для этого должно совпасть много факторов — и адекватное правительство, прислушивающееся к мнению граждан, и общественное обсуждение, и грамотные эксперты, и СМИ, освещающие дискуссии и выявляющие попытки пролоббировать выгодные для компаний пункты.

Нынешнее правительство, которое не выбрано на конкурентных выборах, конечно, адекватным я не считаю. Но это не отменяет того факта, что кроме закона ваши персональные данные никто не защищтит. Вы можете хоть обвешаться адблоками и блокировщиками, но это не помешает сотовому оператору, интернет-магазину, банку раздавать ваши данные направо и налево.

Ну серьезно, расскажите, как в отсутствие закона вы запретите сотовому оператору продавать данные о ваших звонках и вашем местоположении? А банку — о ваших финансах и тратах.

[Ipeacocks]

Вы читаете все пользовательские соглашения? Сколько у вас примером уходит времени на установку, ну не знаю, Вайбера?

[arbalet42]

Как раз-таки аудитория может смотреть шире на ситуацию, по крайней не так однозначно как Вы в Вашем сообщении, в котором мир представлен через призму розовых очков. Аудитория, например, может помнить про:

у большинства нет сомнений, что корпорации их обворовывают, прослушивают, бигдатят и зомбируют.

— то, что именно на этом строит свою бизнес-модель, например, Facebook и Google — одни из крупнейших компаний в мире; здесь на Хабре неоднократно постились статьи и комментарии с конкретными примерами, как то или иное приложение шпионит за пользователем — последний раз вчера в статье про колонку Яндекс.Станция;

А хрен с ним, что в ЕС, РФ и США действует тонна законов, регулирующих и ограничивающих сбор данных, а большие корпорации – первая цель для всех проверяющих органов.

— историю с Cambridge Analytica. Нахождение её штаб-квартиры в Великобритании, а Facebook — в США, как-то не помогло.

что AppSee зарегистрирована как компания и имеет кучу партнёров уровня Samsung и eBay.

— что наличие партнеров в определенный момент времени мало о чем говорит; стоит компании/лицу «замарать» свое имя, как партнеры сразу же разрывают любые деловые связи; наглядно в историях со спортсменами — не успело прозвучать обвинение в допинге/избиении жены/краже кроссовок из магазина, как на следующий же день от рекламодателей (партнеров) и след простыл;

что приложение прошло AppStore Review

— его же прошли и откровенно стремные приложения, например для джейлбрейка, замаксированное, если я правильно помню, под фонарик; если говорить про Android (под который также есть приложение «Бургер Кинг»), то с периодичностью раз в месяц публикуются статьи с оценкой количества откровенно вредоносных приложений — счет идет на тысячи.

Так что не стоит обижаться на аудиторию Хабра — скепсис должен быть понятен.
Причем вредоносное использование ранее собранных данных может произойти и без злого умысла, а просто по недосмотру или разгильдяйству — забыл админ сменить настройки по умолчанию, и вот твои данные уже в сети. Причем админ может быть ответственным за инфраструктуру военной базы — и всё равно он может забыть сменить стандартный пароль на рутере и обновить прошивку последнего.

[nidalee]

Пакету Яровой тоже пока никто не соответствует. Дело времени.

[BingoBongo]

А хрен с ним, что в ЕС, РФ и США действует тонна законов, регулирующих и ограничивающих сбор данных, а большие корпорации – первая цель для всех проверяющих органов. Хрен с ним, что AppSee зарегистрирована как компания и имеет кучу партнёров уровня Samsung и eBay.

И вот к чему приводят тонна законов и именитые бренды habr.com/post/416885

[johovich]

А почему бы тебе не написать опровержение? Не будет обидно за хабр тогда. Хабр это мы и есть.

[Superl3n1n]

Если Вы человек в теме, и у Вас есть сейчас возможность повторить описанное в статье. То не могли бы Вы пожалуйста и файл с обработкой нажатий на экран проанализировать. А именно, в момент ввода кредитки пишутся ли события нажатия на клавиши клавиатуры?

[jex]

fennikami вот это стоит в пост добавить, а то пока пустовато.

[fennikami]

Никто их в заблуждение не ввел.
Еще раз: телеметрия с записью экрана при вводе данных карты — не круто.
Вечером залью видео которое внезапно опровергает что у БК данные карты замазаны.

[winox]

Ну и метод ты нашел чтобы себя распиарить.

[farwayer]

Пруфы обязательно надо прикладывать к таким обвинениям сразу.

[MedicineMan]

Вечером можешь уже не заливать.

[JC_IIB]

А вот и опровержение, походу

[winox]

Где видео?

[mike_Z]

а вечер уже наступил?

[fennikami]

Уже добавил.

[winox]

Добавь следующее сообщение от 3amynoK

[KostaArnorsky]

Почему-то я не вижу видео, только скриншот видеоплеера. Я что-то неправильно делаю? Можете дать ссылку на видео?

[nidalee]

www.youtube.com/watch?v=Korqhksw7xw

[Sabubu]

На видео виден номер телефона, который является ПД. По номеру телефона можно, купив данные у дата-брокеров, например найти человека в других базах: базах покупок, базах пользователей скидок, базах бравших кредиты итд.

Причем, что интересно, они требуют номер телефона для использования приложения, даже если ты хочешь просто посмотреть каталог товаров, и например придти и заказать их лично. Вот так отношение к людям.

[Opaspap]

блюр не помогает, даже пикселизация не помогает (вспоминаем историю пару лет назад о коллективной расшифровке пикселизированной строки, кажется и нейронки потом этому научили)

[JC_IIB]

Да, видео было бы интересно глянуть, но что-то автор не спешит его выкладывать.

прикосновения пишет параллельно

Скажу честно, я в этом — ни уха ни рыла, но строчка UploadTouchEvents = True выглядит подозрительно.

[AlexRed]

Пишет много чего www.appsee.com/features
Но все вполне официально и по GDPR)

[fennikami]

Что же вы этот GDPR суете везде?
GDPR — глупый закон, который сам по себе ну никак не помогает в privacy regain, и это не показатель.

[W0xel]

Правда что ли? А гиганты типа Google — дураки. Это они сами себе напредумывали в своей «гейроппе»

[jex]

Непонятно за что заминусили, ведь GDPR действительно ужасен. Он только увеличит стоимость разработки, издержки IT компаний, но никак не поможет с защитой приватности данных. Просто это всё будет делаться неформально самыми наглыми компаниями, а добропорядочные будут проигрывать конкуренцию. К appsee претензий не имею, но защищать GDPR… Серьезно?!

[godlatro]

получается так что именно appsee пишет видео, а не бургер кинг.
То есть аналитику ведет это приложение, а бургер выступает лишь как распространитель.
В любом случае писать данные карты да и вообще любые данные — на видео это жесть.
Это реально нарушение моей приватности. Это уже за гранью аналитики

[Sabubu]

Нет. AppSee не сам пришел к вам на телефон, его установили разработчики Burger King. Это они следят за вами, а AppSee лишь производит инструмент для этого.

[godlatro]

appsee же платформа, и на её сервера идут все данные. Разве нет?
Я конечно не пользовался, не знаю. Но в моем представлении это именно так и работает, исходя из опыта других продуктов. Того же вебвизора как выше упомянули

[Welran]

Модуль appsee пишет видео и отправляет на свой сервер откуда аналитики или разработчики бургер кинга забирают информацию, в том числе и записанное видео. Сами appsee вряд ли вообще просматривают их, там же миллионы видео файлов записываются, а им оно вообще не нужно.

[godlatro]

некоторые еще харю пытаются писать без разрешения. Как то фонарики всякие, банковские приложения

[fennikami]

Не спешу выкладывать потому что я, внезапно, человек и мне надо спать после бессонной ночи.

[fennikami]

Привет, сейчас занят очень, но вечером залью из дампа как раз.

[thelongrunsmoke]

Опять? Привыкните уже — приложения и сайты имеют аналитику, вебвизор и иные средства анализа взаимодействия пользователя с продуктом.

[lightman]

Пусть и разработчики тогда привыкают, что пользователи всеми силами блочат эти «интересные» функции. Пост автора побудил меня наконец разобраться в вопросе и поставить на свой телефон блокировщик трафика и прочих следилок (я раньше неверно думал, что для этого требуется рут, оказалось не так), даже приобрёл это приложение, что делаю в исключительных случаях.

[Barsuk]

Что за приложение? Поставили первое попавшееся или провели какое исследование?

[dext63r]

Adguard возможно.
Только я не уверен, что он подобное блокирует.

[Mike_soft]

и теперь за вами следит блокировщик трафика :-)

[thelongrunsmoke]

Лёгкая паранойя, вполне нормальное явление. Количество пользователей, которые блокируют аналитику обычно не превышает 30%. Так что и у разработчиков есть достаточно данных для анализа и пользователи довольны.

[Vilgelm]

Если вебвизор будет стоять на странице оплаты, где вводятся данные карты, то это большая проблема.

[unlor]

Стоял. И записывал. Действительно, можно было через вебвизор видеть, какие логин/пароль вводит пользователь. Но какое-то время назад Яндекс это пофиксил.

[Vilgelm]

Логин\пароль не так страшно, т.к. владелец имеет доступ к этим данным все равно. А вот данные карты — страшно, т.к. может быть сайт с каким-нибудь нормальным биллингом, который при этом будет собирать данные карт.

[Daniyar94]

Шта? Нормальные девелоперы давно хешируют и солят пароли, так что даже они не знают их :/

[Sabubu]

Лет 100 назад так же говорили про права рабочих и работодателей, и с тех времен произошли изменения: введены минимальная заработная плата, приняты дополнительные законы об охране труда.

Думаю, что и в случае с приватностью, надо не привыкать, а изменять систему.

Если компании нужно тестировать свое приложение на пользователях, пусть нанимают тестеров за бесплатные бургеры, а не используют людей в качестве подопытных свинок.

[BingoBongo]

Тут кто одеяло перетянет: если бы не потребность в узкоспециализированном высококвалифицированном труде, который позволил уже рабочим диктовать условия, то сейчас бы мы так и жили большинством в рабстве. Иногда возникает чувство, что благодаря информационным технологиям и глобализации ценность человеческой жизни снова падет…

[Hardcoin]

Сами привыкайте, а мы будем резать.

[Gorniv]

Вам уже на пикабу нормально ответили — что это вполне нормальное явление, которое не передает данные полей ввода, контролирует, чтобы отчеты шли через wifi и много другое, а так же соответсвует даже европейскому GDPR. Может все таки стоит больше изучать техническую часть, а делать желтые заголовки и громкие заявления.
Кстати их прилождение одно из лучших в категории «Еда» — я их за последнее время десятки изучил.
appsee — нужен для улучшения приложения, неужели Вы этого не понимаете?

[lightman]

Не знаю, чем оно лучшее, оно глючное. Грузится долго, часть товаров вообще не даёт добавить в корзину (кнопка обавления неактивна).

[Gorniv]

с точки зрения функциональности и подхода формирования заказа. Про стабильность ничего не могу сказать…

[Yarriks]

Так глючит-то его как раз из-за апси. Представляете, как он нагружает смартфон? Плюс ещё и трафик дико жрет. На своем приложении использовали по мере необходимости. Но отвал пользователей был адовый. Сейчас ребята российские похожий сервис двигают. Обещают, что влияние на работу смартфона минимальное. Будем тестить.

[wlr398]

Только та же телеметрия в вебе приводит к массовой переделке сайтов в вид с 3 огромными словами и одной картинкой на весь многодюймовый монитор и необходимостью постоянно скролить. Не видно то есть никакого улучшения, видно какой-то ужасный идиотизм.

[Gorniv]

я думаю это не с телеметрией связано, это скорее к трендам дизайна вопрос.

[Vilgelm]

Три огромные слова и картинка появились не из-за телеметрии, а из-за роста мобильного трафика, где это действительно выглядит в тему. И когда это лендинг, на котором минимум информации, то все хорошо и красиво. Проблемой это становится тогда, когда сайт где много контента делают в таком виде. Но увы, на мобильных иначе читать сложно.

[wlr398]

Так делают же отдельные версии сайтов под мобильные браузеры. Зачем заставлять людей на десктопах видеть 3 слова и картинку на мониторе 27 дюймов фулл-хд?
Тот же вопрос банкам с таким же дизайном. Банки часто предлагают под смартфоны свои приложения и скорее всего мало кто будет уродоваться на смартфоне через браузер.

[Hardcoin]

Банки приложения, конечно, предлагают. Но к остальным сайтам это имеет мало отношения. Глупо писать приложение, если не осилил мобильную версию — люди не будут ставить тысячу приложений, а значит небольшой сайт просто потеряет аудиторию. Разумнее уж мобильную версию допилить.

[Vilgelm]

Потому что доля мобильного трафика больше половины, а разработка и поддержка двух версий стоит денег.

[fennikami]

Вам уже на пикабу нормально ответили — что это вполне нормальное явление, которое не передает данные полей ввода, контролирует, чтобы отчеты шли через wifi и много другое

Давайте по пунктам:
1. Данные полей не передаются только если отдельно указать что вот мол этот и этот TextField — Sensitive View. Там нет магии которая чудным образом узнает где же тут приватные поля и цензурит их.
2. Приложение BK не отдает информацию о подключении к WiFi / Cellular, а значит — не может контролировать это.
3. Про GDPR отвечу свои комментом выше:

Что же вы этот GDPR суете везде?
GDPR — глупый закон, который сам по себе ну никак не помогает в privacy regain, и это не показатель.

И напоследок:

Кстати их прилождение одно из лучших в категории «Еда»

Кстати, этот коммент совсем не рекламный!

[Gorniv]

давайте по пунктам:
1. можно увидеть видео с пруфом что парметр не стоит?
2. не берусь судить, надеюсь тут найдутся люди, кто сможет подтвердить или опровергнуть.
3. GDPR — это ппц какое количество правил и указаний по защите персональных данных пользоавтеля — так что это показатель.
4. про оценку приложения — это мое личное мнение, как человека, который много исследует приложения в категории «Еда» на предмет фишечек и функционала. К бургер кингу я не имею ни какого отношения( я fullstack разработчик в «Европлан»- это лизинг)
Пока ваша статья выглядит — как победа параноика над здравым смыслом и желание пиара.

[Fracta1L]

GDPR — это ппц какое количество правил и указаний по защите персональных данных пользоавтеля — так что это показатель.

Ну и что толку, если соответствующее GDPR приложение пишет видео с экрана и отсылает левым людям?

[kemko]

GDPR — это ппц какое количество правил и указаний по защите персональных данных пользоавтеля — так что это показатель.

Я никогда не изучал этот момент, но подозреваю, что в России всегда были достаточно хорошие законы, защищающие окологосударственные БД. Как там сейчас, уже нельзя достать БД с паспортными данными граждан РФ?

Так и GDPR. Он говорит как надо защищать и как будут наказывать, если этого не делать. Но все всегда вольны не делать и, возможно, огрести по всей строгости закона.

[Gorniv]

Так может стоило им написать и дождаться ответа, а не поднимать шум с желтыми заголовками?

[Sabubu]

GDPR не глупый. Законодатель увидел, что компании не заинтересованы в охране персональных данных, что там начался дикий капитализм и пришел к выводу, что нужны юридические ограничения. С капиталистами по-другому никак.

[jex]

GDPR не глупый

Ага не глупый. Он создаёт огромные затраты индустрии на соответствие закону, который всё-равно не будет работать. Думаете компании действительно будут удалять информацию пользователей по запросу? Это просто очередной налог и рост бюрократии, который оплатит в итоге потребитель.

С капиталистами по-другому никак.

Ну вот такими статьями как эта можно воздействовать, создавать институт репутации. Зачем распильные законы плодить?

[Sabubu]

Вы плохо понимаете закон. Суть закона очень проста: персональные данные принадлежат не тому, кто их собрал, а пользователю. И охраняются законом. Вот и все.

Если вы честный и порядочный бизнес, который уважает своего пользователя, то для вас с приходом закона скорее всего ничего не изменилось.

> Думаете компании действительно будут удалять информацию

думаю, крупные западные компании будут, так как Европа это не кучка аборигенов (или россиян), чье мнение можно проигнорировать.

> Он создаёт огромные затраты индустрии на соответствие закону

В чем затраты? Дописать код для замены по запросу в базе данных «Иванов Иван» на «Удален Удален»? Я уверен, что блестящие разработчики в IT-компаниях такую задачу за день максимум решат.

Расскажите мне про затраты.

Да, для кого-то, кто привык зарабатывать продажей персональных данных дата-брокерам, теперь стало труднее это делать. Пусть займутся чем-нибудь другим.

>, создавать институт репутации

Вот смотрите, у нас был период нерегулируемого оборота перс. данных, и к чему он привел? Только к утечкам, скандалам и злоупотреблениям. Где ваш институт репутации? Работает? Вы мне верующего напоминаете, а вместо слепой веры попробуйте посмотреть на нынешнюю ситуацию.

Нет. Потому нужно отрегулировать эту сферу законодательно, так как другие механизмы не работают и мы скатываемся в дикий капитализм. Я хочу, чтобы можно было пользоваться любыми современными сервисами, но не жертвовать своей приватностью и не пополнять чьи-то базы данных. Кроме государства, это никто не обеспечит.

[Sabubu]

Если вы не храните персональные данные в блокчейне (зачем??), то все законно.

[jex]

Расскажите мне про затраты.

Во всех крупных компаниях — создать и провести тренинги по GDPR, убедиться что сотрудники будут его соблюдать. Если проверок много — затраты на содержания армии бюрократов государством, затраты компаний на подготовку к этимпроверкам (в некоторых случаях коррупционые). Затраты на внутренние проверки, чтобы следовать закону — иначе платить штраф из-за Васи, который накосячил в функции удаления данных.
Если проверок от государства почти нет — то закон ничего не меняет, для недобросовестных компаний, но осложняет жизнь добросовестным. Т.е. на конкурентном рынке хорошие компании будут проигрывать плохим.
Сколько стоит отвлекать сотрудников от работы для информирования о GDPR, сколько стоит создание треннингов, сколько стоит для каждого онлайн сервиса создать соглашение о работе GDPR, сколько стоит готовиться к проверкам по закону, сколько стоит для каждого продукта компании отвлечь программистана дописать код для замены по запросу в базе данных «Иванов Иван» на «Удален Удален», сколько стоит постоянно проверять, что этот код работает правильно? Всё в сумме — большие деньги и много времени.

Я хочу, чтобы можно было пользоваться любыми современными сервисами, но не жертвовать своей приватностью и не пополнять чьи-то базы данных. Кроме государства, это никто не обеспечит.

Не нравится, что ваши данные используют — не пользуйтесь сервисом, у которого в соглашении написано, что он может их передавать третьим лицам. Государство может обеспечить лишь справедливый суд, то что не пополняются чьи-то базы не может обсепечить никакой закон. Всегда можно написать отдельный модуль, который шифрует данные и хранит на отдельном сервере, на случай проверки. Как тут поможет закон?
Если заметили, что ваши данные утекают и это протеворечит соглашению — судитесь с компанией. Зачем GDPR?

Вы плохо понимаете закон. Суть закона очень проста: персональные данные принадлежат не тому, кто их собрал, а пользователю.

То что там так написано — не значит, что оно так будет работать. Кто-то будет шифроваться, кто-то даст взятку, кто-то просто забьёт на соблюдение закона. Соблюдать будут только те, кто и до этого не торговал данными, только теперь им придётся ещё больше ресурсов тратить на это.

[leesteeongoror]

А на каком основании он должен доказывать, а вы не должны? Вы(вернее автор заглавного коммента) утверждали, что что-то есть, а автор стать то, что этого нет. Как минимум доказывать должны оба, а по правилам должны доказывать вы.

[StallinHrusch]

2. чтобы контролировать подключение к WiFi / Cellular эту инфу как раз и не надо передавать. Приложение само (на стороне клиента) может узнать эту информацию от OS API и решить — передавать ли видос или нет. Так что тут все ровно

[kemko]

Всё это не должно работать на странице ввода чувствительных данных и точка.

Либо не записывать данные вообще, либо в какой-то момент заблюренные этим алгоритмом области могут научиться восстанавливать. А если это sdk не блюрит, а вырезает куски экрана с видео, то в какой-то момент может произойти ошибка и данные не будут вырезаны. Может даже ошибка не на стороне разработчиков sdk: телефонов на android куча, многие производители модифицируют ОС под себя и грабли могут оказаться там, где их не ожидали.

[Sabubu]

Это должно работать на специально нанятых людях-тестерах. Если приложение рекламирует себя как приложение для заказа бургеров, то оно этим и должно заниматься, а не записывать тайком видео с экрана.

Тестировать должны тестеры, а не случайные пользователи.

Есть такое понятие, как «expectation of privacy». Мы ожидаем, что когда мы смотрим каталог бургеров, никто не заглядываем нам в телефон через плечо.

[falstaf]

Почему же тайком? В Terms of Use, которые необходимо принять для регистрации, всё это написано, что пользователь даёт согласие на сбор всевозможной статистической и аналитической информации (не содержащей персональных данных) всеми доступными способами, которые не противоречат действующему законодательству.

Я понимаю, что никто их не читает и все ставят галочку акцепта на автомате, но вот возмущаться потом из-за этого — как минимум странно.

[Sabubu]

Это же типичная капиталистическая уловка: следить за людьми нельзя, а давайте пропишем это где-нибудь в глубине ToS, который никто не читает, и будем следить.

Нет, так не должно быть. Человек, пользуясь приложением, не ожидает, что кто-то будет стоять у него за плечом и смотреть в экран.

Представьте, если все начнут пользоваться такими уловками. Вы приходите к врачу, он вам говорит: вот дорогое лекарство, которое поможет вам в лечении. А в договоре мелкими буквами написано: согласно научным исследованиям, витамин C повышает сопротивляемость организма и повышает шанс выздоровления, потому вы согласны считать его лекарством. Вы приходите в автосалон, а там в договоре написано: предоплата в размере 30% не входит в стоимость машины, а лишь является оплатой работы по демонстрации автомобиля. Вы приходите в ресторан, а там в конце меню написано: «сделав заказ в нашем ресторане, вы соглашаетесь на пожизненную ежемесячную оплату в размере XXX р». Вы устраиваетесь на работу, а в внутреннем распорядке компании (нет, не в трудовом договоре) написано: «если работник не успел сделать задачу за отведенное руководителем время, для компенсации причиненного убытка следующие 12 месяцев он обязан работать по 12 часов в сутки. Работодатель имеет право менять Внутренний Порядок без предварительного уведомления».

[falstaf]

Я всё равно не понимаю, в чём слежка-то заключается? Снимают не вас, снимают даже не экран устройства в целом, просто приложение записывает себя же, запись других приложений не ведётся.

Да и вообще, а если бы ваши действия в нём не записывались на видео а просто тщательно логировались в текстовом виде и отправлялись на сервер — вам было бы спокойнее?

[Fracta1L]

Этот товарищ политрук вообще не про слежку тут речи толкает. А про то, что капитализм это плохо. А есть там слежка или нет её — это неважно, главное, что есть повод залезть на броневичок.

[dom1n1k]

Самое ненормальное во всем этом явлении то, что многие люди уже считают это нормальным. Ну подумаешь в спальню залезли… но это же поможет производителю кроватей улучшить свой продукт! Попутно поделившись данными о твоей частной жизни с парой десятков «партнеров».

[MedicineMan]

Это Вы еще про Google не знаете.

[oxyberg]

В какую спальню?? Максимум залезли в камеры в своем же магазине, когда вы там были, и посмотрели, что там люди делают.

[dom1n1k]

Телефон принадлежит юзеру, а не им. Следовательно, территория юзерская.

[Igor_ku]

Приложение пренадлижит не юзеру, а бургер кингу. Территория их. Это как если бы магазин вел статистику, где трудней всего ходить и где больше всего спотыкается народ

[dom1n1k]

Совсем там все упоролись в вашем 21 веке с подменой понятий.
Но в нормальной системе логики главный на устройстве — компьютере, телефоне, автомобиле, холодильнике, чем угодно — его хозяин.

[Welran]

Только почему ваша спальня находится в здании бургер кинга, а люди из бургер кинга во время вашего отсутствия спокойно переделывают интерьер вашей спальни и вы совсем не против? :)

[Sabubu]

Чтобы улучшать приложение, необязательно использовать пользователей в качестве подопытных свинок. Можно нанять тестеров (например за бесплатный бургер) и тестировать на них.

[nafikovr]

так получается что они собственно так и делают

[areht]

А вы приложение поставили не ради промокодов?

[Sabubu]

Даже если ради промокодов — пусть честно скажут, что они собирают в обмен на промокоды. Честная сделка происходит тогда, когда оба участника знают ее полные условия. А когда один участник обещает «бесплатные промокоды», и скрывает, что он заберет взамен — они находятся в неравных условиях.

[areht]

Чисто из любопытства, вы как себе это представляете?

Ну, например, ролик по телевизору
«Яндекс. Найдётся всё!
В обмен мы продаём вас рекламодателям, для чего собираем:
— ваши поисковые запросы
— видео с экрана
— …
— …
— …
— …
— …
[62 пункта вырезано]
— …
»

[Chamie]

Найдётся всё — и вы найдёте, и вас найдут.

[fennikami]

Именно.

[pesh1983]

Я могу написать приложение, которое будет снимать вас в туалете, при этом маскироваться под видеочат к примеру. Вы позволите себя снимать? Обещаю, оно будет лучшим в категории "извращения". А снимать оно будет естественно только для улучшения своей статистики) Поставите?)

[nick0x01]

Вы открыли для себя сервис сбора статистики для мобильных приложений. Установлен флаг DetectCrashes (обычно видео используется для выяснения, что привело к падению приложения). Полистав сайт, можно увидеть, в каких приложениях еще используется этот сервис.

видео записывается даже тогда, когда вы указываете данные своей банковской карты

Это действительно так?

[RoboForm]

Нет, конечно. Просто пользователи Пикабу открыли для себя дивный мир мобильной аналитики.

[dartraiden]

Самое смешное, что это не заставит их перестать пользоваться мобильным приложением самого Пикабу, которое содержит:

— Google measurement
— Google Ads
— Appsflyer analytics/tracking
— Clevertap analytics/tracking
— io.branch.sdk metrics/analytics
— Yandex metrica/ads
— io.fabric.sdk metrics/analytics
— сервис аналитики самого Пикабу
— Google login (GooglePlus login)
— Twitter login
— Facebook login
— VK login
— Crashlytics

Последние пункты делают хоть что-то полезное, а остальное нужно лишь для анализа поведения пользователя и показа рекламы. Но поста про это на самом Пикабу никогда не будет, верно?

[nidalee]

А если копнуть в настройки приватности гугла и вообще в его сервисы на Android, то придется переходить на кнопочные телефоны 2000х годов… У большей части юзеров пишется история передвижений, интересно, как они на это отреагируют?

[nidalee]

Смотря каких.

[BeppeGrillo]

Я вам щас открою страаааашную тайну.
Есть Андройд смартфоны на чистом AOSP которые за тобой не следят.

[falstaf]

Ничего подобного. Возьмите билд андроида, запустите на qemu каком-нибудь и посмотрите трафик.

[BeppeGrillo]

В чистом андройде нет google api и он ничего не отправляет.

[JC_IIB]

Учитывая то, кто у нас вендор Андроида, ваше утверждение выглядит крайне сомнительно.

[BeppeGrillo]

О, анаэробная форма жизни, давно не виделись!
На вашей планете что, и Андроид другой?
Если серьёзно, в чистом Андроиде нету 3 китов гугла: Market, Services и API, по сути без них Андроид с Гуглом не связан вообще никак.
Ещё можете посмотреть на replicant.us

[fennikami]

обычно видео используется для выяснения, что привело к падению приложения

Видео прямым потоком лилось на сервак AppSee, только вот приложение у меня ни разу не падало.

[BingoBongo]

Хотелось поинтересоваться, как вы предскажете краш вашего приложения и за несколько секунд до этого начнете запись экрана?

Писать видео всегда, но отправлять только небольшой кусок до момента краша при повторном запуске приложения.

[BingoBongo]

В том и дело, основная цель AppSee — это обратная связь для улучшения интерфейса. Именно поэтому, с точки зрения AppSe, видео резать нет смысла — для анализа нужны все действия пользователя, начиная от первого запуска приложения. Не понимаю, как получилось, что во многих комментариях в этой теме разговор перетек в отлавливание багов, т.к. это уже дополнительная фича, которая скорее случайно поддерживается просто потому что реализация основной цели сервиса AppSee уже предоставила весь функционал.

[BingoBongo]

Если посмотреть видео с главной страницы youtu.be/QY2yCRnWx-A, то я бы его больше проинтерпретировал так: «AppSee помогает вам отследить поведение пользователей, и найти слабые места в интерфейсе вашего приложения. В том числе вы можете отслеживать краши». Просто я не понимаю, как может взлететь сервис, который занимается крашами — потому что тут ничего инновационного нету, с багами все бороться давно умеют, а вот анализ интерфейса — это другое дело, такого мир мобильных приложений, по-моему, еще не видел. Я веду к тому, что основная цель AppSee все таки нахождение слабых мест в интерфейсе, а не помощь в дебаггинге.

[asaks]

Например, как это сделано в камерах видеонаблюдения. Существует буфер предзаписи, и если что-то случается, то видео пишется на диск. Так и тут модно что-то подобное реализовать и отсылать видео непосредственно с крашем приложения.

А вообще, ИМХО, слать в прямом эфире видео и ни слова про это видео не говорить это не есть хорошо. Если надо постоянно следить за приложением, то как уже выше говорили, нанимайте тестеров и давайте им отдельное приложение, а не тратьте трафик пользователей, которые на это не соглашались.

[falstaf]

пользователей, которые на это не соглашались

Ну вообще-то соглашались, подтверждая при регистрации прочтение и полное согласие с terms of use, где всё это упоминается.

[unlor]

Не забывайте также, что за вами следят:
— десятки видеокамер стационарного видеонаблюдения
— сотни видеорегистраторов
— Крупные магазины (тем боле те, в которых используете дисконтную карту)
— Браузеры/поисковые системы/провайдеры
— мобильные операторы
— утка (в случае, если у вас анатидаефобия)
— госстуктуры (ГИБДД, таможя, налоговая, военкоматы)

[unlor]

Избитый. Очень. Я понимаю, что любая дискуссия сводится в конце концов к Гитлеру, но все же не нужно приравнивать написанное выше к Холокосту. Различайте понятия слежки за поведением абстрактного пользователя и слежки за каждым конкретным человеком.
И да, тогда уже и избитая мысль с моей стороны — если вам не нравится закон — это повод попробовать изменить закон. А не устраивать луддизм.

[Hardcoin]

Слежка за поведением абстрактного пользователя — это так же отвратительно. От того, что там прописано в законе, это не становится хорошим действием. В законах пока не пишут, что исполнять их нужно с энтузиазмом или что с законом нужно внутренне соглашаться. Почему лично вам слежка нравится и вы её защищаете, не ясно. Дело ваше, но другим она нравиться не обязана.

[unlor]

Не защищаю, а пытаюсь объяснить, зачем это делается и где это происходит. Судя по ажиотажу значительная часть присутствующих в треде имеют очень смутное представление об аналитике вообще и ее методах в частности.
И позвольте мне самому решать, что мое дело, а что нет.

[Hardcoin]

Конечно позволяю. Так и написал, ваше отношение к слежке — дело ваше, вам решать. Люди, даже если и не очень технически подкованы, просто хотят, что бы за ними меньше следили. Хоть по закону, хоть без. Вполне понятное желание.

[unlor]

Хотят. И оставляют терабайты информации в соцсетях :)
Люди — странные животные

[Hardcoin]

Ничего странного. Оставляют по собственному желанию. А скрытый сбор — он скрытый. Вполне логично и естественно иметь возможность рассказать о себе то, что хочешь (в т.ч. и в соцсетях), но при этом что бы скрыто ничего не собиралось.

[falstaf]

Вы сами-то внимательно читаете все до одного terms of use приложений и сервисов, которые используете?

Честно говоря, нет. Но и возмущаться не буду, если вдруг окажется, что из-за своей же лени я упустил что-то важное в этих самых terms of use.

А если в terms of use будет написано «Нажимая Продолжить вы соглашаетесь пожертвовать своё правое яичко обществу борьбы с социальным неравенством»

То этот пункт будет противоречить действующему законодательству и поэтому будет признан недействительным.

а вот слежение, даже оговоренное в terms of use

Тут в комментариях многие уже писали про нарушение приватности и слежку, но никто так и не смог ответить на простой вопрос: в чём заключается-то это самое нарушение приватности пользователя и слежка за ним в целом, ведь приложение снимает свой же собственный экран, записи других приложений не ведёт, равно как попыток записать пользователя через фронтальную камеру. Или для вас слежка — любая фиксация приложением действий пользователя в нём? В таком случае непонятно, почему же текстовое логирование каждого действия пользователя в приложении не вызывает подобного ажиотажа.

[falstaf]

Если приложение без моего ведома что-то пишет и что-то куда-то шлёт — я буду возмущаться точно так же

С таким подходом вам не стоит пользоваться никакими мобильными приложениями, да и смартфонами тоже. И десктопными ОС также. Ведь все они что-то постоянно логируют и отсылают без вашего ведома.

[nafikovr]

с таким подходом ни стоит пользоваться телефоном как и любым другим средством связи. все же пишется и по закону.

[Sabubu]

Дебиан ничего не отсылает.

[Sabubu]

> То этот пункт будет противоречить действующему законодательству и поэтому будет признан недействительным.

ну хорошо, пусть там будет пункт о пожизненной неотзываемой ежемесячной плате в размере 100 долларов. Если вам не нравится — не устанавливайте приложение, а раз установили — надо платить.

[vlivyur]

burgerking.ru/legal_for_app
Хрентатам. Тут нет такого. Если, конечно, это не написано в п.8.1 (может быть это «иные технические данные, необходимые для улучшения функционала и работоспособности Приложения»), но я не смог расшифровать его.
П.2.5 фееричен. Особенно в последнем предложении. Ну и специально для TS'а добавлен раздел 4, который он нарушил почти по всем пунктам.

[falstaf]

Именно 8.1 я и имел в виду, да.

[vlivyur]

Но там ни слова про запись экрана.

[falstaf]

Ну вы же сами процитировали: «иные технические данные, необходимые для улучшения функционала и работоспособности Приложения». Не думаю, что там нужен отдельный пункт именно про запись экрана, если пользователь уже согласился с тем, что приложение будет собирать любые «иные технические данные».

[plMex]

… а так же про то, что оно может взломать ваш домашний роутер, подключиться к вашей веб-камере и смотреть как вы с женой занимаетесь сексом, чтобы сразу после окончания прислать вам рекламу нового бургера: «Кончил? Подкрепись!».

Нет, ну а что, вы же «уже согласился с тем, что приложение будет собирать любые «иные технические данные».

Я, разумеется, адски утрирую, но мысль улавливаете?.. „Иные технические данные“ и „иные методы сбора информации“ — не синонимы.

[SeregaSA73]

Ндаа, хороший ресурс превратился в пикабу, очень жаль

[Chamie]

необходимые для улучшения функционала и работоспособности Приложения

А необходимость они смогут доказать? В прямом смысле — что без этих данных приложение улучшать невозможно?

[vlivyur]

Технические данные это, к примеру, разрешение и размер экрана, ЦПУ, об'ём памяти, модель телефона. Но никак не поведение пользователя.

[StallinHrusch]

такой раздел 4 очень сложно не нарушить

[Sabubu]

Надо просто при установке приложение спросить разрешение пользователя на видеозапись экрана. Откажется — значит, пусть не обижается, если его баг будет расследоваться дольше или вообще не будет исправлен.

А теперь подумайте, почему компании так не делают.

[norlin]

В тегах упомянута iOS, но насколько я знаю, там такое в принципе невозможно (запись всего экрана). Впрочем, возможно, приложение может делать снимки самого себя, но и то не факт.

[falstaf]

Каждое приложение запрашивает все что можно при установке, и потом делает все что вздумается.

Разрешения уже давно не принимаются пользователем при установке приложения, сейчас в андроиде модель динамических разрешений, которые в любой момент можно предоставить или отозвать.

[falstaf]

Мало того, что пользуюсь, так ещё и активно разрабатываю под него.

Повторюсь, уже как несколько лет разрешения не запрашиваются при установке, начиная с 6 версии андроида. Если по каким-то причинам на каком-то девайсе до сих пор стоит версия ниже шестой — проблемы конкретного девайса, а не платформы в целом.

[falstaf]

Во вторых, все таки ответьте на вопрос: как мне отключить возможность снимать видео экрана

Естественно никак. Подумайте сами, как вы можете запретить приложению получить доступ к своему же графическому контексту, к своим же views? А экраны других приложений оно и не записывает, да и не смогло бы, к слову.

[Mike_soft]

Научите, плз. можно в личку.

[Aquahawk]

Тоже попрошу вас поделиться. Переезжаю тут на андроид. И ещё вопрос, часто приложени отказываются работать или падают без разрешения. Почему никто не сделал модель shadow разрешений? чтобы приложение думало что разрешение есть и например видело пусто контакт лист или с левыми данными, и работало как и раньше ничего не подозревая.

[springimport]

Недавно писали про такое, по моему, XPrivacy (подставные контакты и т.д.). В итоге гугл удалил из стора.

[Aquahawk]

Во, это то что я искал. Много глюков но это достаточная тема для гугления. Спасибо.

[plMex]

Поищите по запросу «miui второе пространство», правда это работает «из коробки» только на смартфонах Xiaomi с MIUI, а они сами — те ещё следаки за пользователем (по слухам и кредитки «анализировать» не стесняются).

[nidalee]

Многие приложения будут угрожать при этом перестать работать, некоторые — будут реально переставать. Потому что (предположительно, я в этом вообще 0) — кодят под старые версии системы, где разрешения ставить нельзя и приложения могут все и сразу, даже то, чем не пользуются в принципе.

[Bringoff]

Самые популярные приложения запрашивают как можно больше как раз при установке.

Ну, вот что я разрешил приложению Facebook:

Украинский на скриншоте, но все должно быть ясно

Все, что мне надо, продолжает работать.

Или вот Instagram

Есть пара популярных приложений (вроде Viber), которые все еще используют старые версии SDK и получают все разрешения при установке (в настройках можно потом нужное отключить, правда, работоспособность приложения не гарантируется), но через месяц на Google Play они не смогут выкладывать обновления без поднятися SDK, поэтому такая хитрость у них больше не пройдет.

[vikarti]

Скажите это разработчикам Мой МТС
Да, динамическая модель. Только вот все что потенциально может потребоватся (кроме СМС) — требуют при старте. Если не давать — требуют по новой. Если сказать что не дашь (галочка не спрашивать) — предложат разрешить в настройках или переустановить приложение.
На голом нерутованном андроиде — решения нет.
У (например) Wilefox есть возможность штатно включить 'т.н. защищенный режим' для особо наглых приложений — приложение получит свои данные которые так хочет. Только вот их реальность — вопрос отдельный. Для рутованных девайсов есть аналогичные средства.

[falstaf]

Да я же не спорю, что любую концепцию можно изуродовать и сделать неудобной для пользователя. Мой изначальный комментарий был ответом на «Потому что модель полномочий в андроиде — говнище, и с каждым обновлением гугл ещё больше её уродует», а описанный вами пример — всё же неверное понимание и использование модели динамических разрешений разработчиками МТС, а не проблема платформы в целом.

[Aquahawk]

Они как раз всё хорошо понимают. И требуют права чтобы получить от вас нужную им информацию шантажируя вас непредоставлением функционала

[fennikami]

Приложение может писать все внутри себя.

[trimtomato]

Вы можете прямо написать приложение для какой платформы вы анализировали для статьи?

[Vilgelm]

Возможно, в игре Asphalt 8 есть функция записи экрана, причем ее можно поставить в автоматический режим, когда пишется все автоматом.

[aobondar]

да, так и есть внутри либы appsee по таймеру делает скрины основного экрана. Никакой записи видео в классическом понимании там не происходит

[Superl3n1n]

Так если адрес куда загружать файл известен (правда в статье полной ссылки нету). Так может загрузить им туда 10 часовое видео с котиками и т.п., на что хватит фантазии. А они уже пускай разбираются.

[Barsuk]

Взять реальную служебную инфу, а видео подсунуть у кого на что фантазии хватит.

[Arik]

Зачем котиков? лучше какого запрещенного материала, а потом статью написать что случайно нашел Детская порнография на сервере Первого канала

[fennikami]

забавно, читал эту статью сегодня)

[Fracta1L]

А что там было-то?)

[Magera]

Анонимусы с двача залезли на фтпшник «Первого», и первым делом залили туда запрещёнку, потом раструбили в СМИ

[aamonster]

Очевидно, что никто не смотрит эти видео: дорогое удовольствие — нанимать людей для просмотра многих часов тыкания юзеров в экран.

В теории — оно может понадобиться только для того, чтобы в случае бага отследить последовательность действий юзера, приводящую к нему. Но, опять же, бессмысленно писать видео всегда — так что я предположил бы, что если у автора статьи запись/отсылка действительно идёт постоянно — то это или баг в приложении, или он что-то сломал (например, экспериментируя с приходящим с сервера конфигом).

На практике — лучше такого не делать, чтобы не нервировать юзеров :-). В смысле, если и предусмотреть запись экрана — то чтобы юзер сам давал команду на это, это успокаивает нервы :-D

[fennikami]

Я не ломал ничего и трафик не менял.

[aamonster]

Ok, значит, баг. Интересно, воспроизводится ли он у других пользователей. И что стало его причиной.
Я бы на вашем месте написал багрепорт и БургерКингу, и АппСи. А как временное решение, пока не разберутся и не починят — заблокировал бы на всякий случай их домен через hosts (ну, это для андроид). Или как постоянное, просто на всякий случай =). Хотя, конечно, от выжирания батарейки это не спасёт.

[fennikami]

Я как пользователь не обязан этим заниматься. Максимальная длинна видео выставлена в бесконечность, и это вот ни разу не баг.

[aamonster]

Ну, вы не обязаны и трафик исследовать, и много что ещё =). Однако вы это сделали, и логично довести дело до конца — чтобы у других юзеров не писалось видео, не жралась батарейка и т.п.

[Tihon_V]

А зачем занимать свой интернет канал? Просто оставлю это и вот это здесь.

[hrumbumbes]

Обычная аналитика, которая существует уже не первые годы на рынке (та же Appsee). Многие компании это применяют. В чем паника, если поставщик услуг и так знает все ваши данные, а дальше «окна» приложения аналитика писать не может, ввиду отсутствие прав со стороны системы? Какая-то неделя «открытий» на хабре началась.

[swordman-sib]

Вот так выглядит само видео

Вернее было бы сказать, что так выглядит скриншот видео. Если мне не изменяет память, то согласно документации Appsee, поля ввода в конечном виде будут скрыты. Более того, запустить приложение без этого параметра просто не получится.
А то, что отсылает телеметрию — это обычная практика. Вот только не в Full HD и даже не в 720p@30 FPS. На таком кодировании смартфон бы завис или перегрелся. В общем, советую автору не искать заговора там, где его нет. И почитать о телеметрии в Windows 10, например — если это не отобьёт у него желание выходить в интернет, то хоть по матчасти подтянет.

[hMartin]

Не представляю как их порвет, когда они узнают, что поисковики записывают историю поиска.
На гуглосторе даже устроили набег в комментарии бургеркинга. Запись видео их гастрономических предпочтений, как так можно вообще, что за киберпанк

[plMex]

Если мне не изменяет память, то согласно документации Appsee, поля ввода в конечном виде будут скрыты.

Или не будут. На скриншоте не скрыто.
Вряд ли оно скрывается на лету сразу на телефоне, а если они делают это у себя на серверах, т.е. получают видео в нормальном режиме, а потом происходит постобработка, то где гарантия что какой-нибудь программист, недовольный своей зарплатой, не пошаманит немного на сервере видеообработки чтобы оттуда предварительно вырезались номера кредитных карт, например? Ну и MITM, судя по статье, прекрасно работает с их статистикой.

[Ronnie_Gardocki]

Вы где-то видите поля ввода с введенными данными на скриншоте?

[plMex]

Нет, принял за него белый прямоугольник :)
Но всё остальное остаётся в силе.

[mayorovp]

Для MITM злоумышленнику нужно сначала свой корневой сертификат установить на телефон пользователя…

[Sabubu]

То, что обычная практика, это не значит, что так должно быть.

Приложение рекламирует себя как приложение для заказа еды, а не для участия в экспериментах в качестве подопытной свинки.

Если они хотят тестировать приложение, пусть нанимают тестеров.

Идеи вроде набегов на гуглстор поддерживаю. Пусть другие пользователи хотя бы правду узнают, может быть это уменьшит число пользователей и как следствие уменьшит число случаев нарушения приватности. А компанию заставит задуматься об этичности своего поведения.

[falstaf]

Пусть другие пользователи хотя бы правду узнают

Гм, какую правду? Это всё в Terms of Use написано и ни от кого не скрывается.

[Sabubu]

Подумайте, почему это написано размытым языком где-то в глубине занудного документа, который никто не читает, а не например в рекламе приложения: «новая возможность! теперь мы будем следить за вами!». Почему в Гугл Плей не написано большими буквами про это?

Потому что это типичная капиталистическая уловка — вроде как и сказать правду, но так, что никто про эту особенность не узнает. Раньше банки, например, так писали условия кредита, чтобы невозможно было без компьютера под рукой понять, сколько придется платить, потом законодатель их прижал и заставил писать окончательную сумму выплат.

Я тут уже написал, что будет, если все будут брать пример с IT компаний: habr.com/post/416919/#comment_18874353

[hatari90]

Раньше банки, например, так писали условия кредита, чтобы невозможно было без компьютера под рукой понять, сколько придется платить, потом законодатель их прижал и заставил писать окончательную сумму выплат.

Это да. С июня этого года теперь и в денежном выражении должны писать за весь срок кредита, до этого было только требование писать ставку в годовом выражении с учетом всех выплат.

[vikarti]

У Альфа-банка и в 2018 считается нормальным:
— дать 3 листа где разные проценты и суммы минплатежей, на вопрос как понимать — говорят что это общие правила и вас касается вот этот лист (но подпишите все)
— сказать что кредитке где 100 дней льготный период он не совсем льготный — первые месяцы — 0.84% в месяц (страховка).
— в ответ на вопрос что будет если в заявлении про страховку поставить галочку в поле НЕ соглашаюсь (там есть такая) — ответ операциониста что система не примет а отменить можно не раньше чем через 90 дней (по телефону все отключили)

[AlexRed]

Запись экрана — вполне официальная фича www.appsee.com/features/user-recordings
Добро пожаловать в суровую действительность.
p.s. Соответствие GDPR — www.appsee.com/gdpr

[fennikami]

А отсутствие конфигурации Sensitive Views — Вас не смущает? :)

[AlexRed]

не силен в iOS. Вы про это www.appsee.com/features/touch-heatmaps?

[fennikami]

Нет, погуглите «AppSee Sensitive Views SDK».

[JC_IIB]

Ну, лично меня смущает отсутствие видео. Автор, тебя могут слить, вон первые минусы уже пошли. Сложно сделать 100%-ное доказательство?

[AlexRed]

Да ну на сайте аналитической компании написано все — пишут они видео, но ПДн не собирают (по крайней мере официально)

[fennikami]

Так а чем видео Вам поможет? Для меня не проблема записать его (если БК к тому времени не отключит апси у себя), но чем оно поможет если на сайте AS указано, что оно записывает.

Автор, тебя могут слить, вон первые минусы уже пошли.

Ну, пусть сливают. Моё дело — донести до общественности.

[JC_IIB]

Для меня не проблема записать его

Это утверждение выглядит странно, учитывая, сколько раз его у вас просили.

Моё дело — донести до общественности.

Что именно донести? Железных пруфов ваших слов — нет, статья выглядит подозрительно.

[u4b]

Ссылка на видео. Ой вот только тут, кажется, наоборот поля ввода замазаны. Ну ничего, надеюсь, автор скоро предоставит свою версию.

[zikasak]

Меня немного смущает, что там два видео с разной комбинацией замазанных полей. В одном поля даты замазаны, а в другом — нет

[u4b]

Вероятно, замазывает только непустые.

На первом видео во всех полях есть данные, все закрашены.
На втором — поля с датой незаполены.

[MINYSMOAL]

тащемта, что и требовалось доказать)
может напишите отдельный пост?

[meteor91]

Смысл видео в том, что бы узнать, как происходит обработка sensitive data.

[winox]

Автор, я тебя еще на Пика*у просил сделать видео, просили и другие люди. Тебе его сделать не проблема, но видео всё нет и нет. Выглядит подозрительно, ты так не считаешь?

[nikolaenkoev]

Как-то пробовал заказать через это приложение поесть, но в итоге сняли рубль и не вернули (для привязки карты)
Да и если не ошибаюсь, там CVV даже звездочками не помечается, а виден явно

[planc]

мне aws доллар вернул через 3 месяца вроде на виртуальную карту яндекса

[nikolaenkoev]

Я не стал заморачиваться, и писать им по этому поводу.
Но если они каждому, кто привязывает свою карту в приложении, не будут возвращать 1 рубль, то дополнительная прибыль будет неплохая

[AlexRed]

если CVV не закрывается звездочкой, то это нарушение PCI DSS — им бы никто не разрешил проводить платежи онлайн

[nikolaenkoev]

Приложение, к сожалению, уже удалил, проверить нет возможности. Писал по памяти, вероятно перепутал с Аliexpress, там код безопасности не закрывается звездочками.

[Griwski]

А в настройках аппы есть тоггл на отключение аналитики? Это нужно для воспроизведения крэшэй, не более того.

[fennikami]

Нет. Более того — никаких уведомлений.

[Griwski]

Значит это было в Terms & Conditions.

[aamonster]

Ага, рядом с пунктом о продаже бессмертной души :-)
(не совсем шутка: гуглим "лицензионное соглашение продажа души" — находим историю про Game Station и ~7500 пользователей, продавших души)

[FrankSinatra]

Зачем разгонять новость о сборе аналитики мобильным приложением? Дешевая популярность и внимание. Вы бы хоть прочли про Appsee и зачем он нужен.
Год назад еще про него писали статьи другие параноики:
«Через сервис статистики AppSee уводились номера российских банковских карт.»
news.rambler.ru/internet/36063287

[Astus]

Как зачем, чтобы в личном бложике написать «Первая реакция СМИ на моё исследование» и т.д.

[Sabubu]

А почему вас так беспокоит популярность автора, а не нарушение ожиданий пользователя? Вы случайно не в сервисе аналитики работаете?

[Astus]

Не то, чтобы беспокоит, но тут мне видится, что желание популярности у автора бежит впереди желания вдумчивого изучения вопроса. И ссылка «Связь со мной для журналистов» это только подтверждает.
По Вашему, все, кто критикуют пост — случайно работают в сервисе аналитики? Отличная логика, да. Хоть это и глупо, но отвечу — нет, не работаю, не работал и знакомых там тоже нет.

[FrankSinatra]

Меня беспокоит только человеческое невежество, которое порождает панику. Appsee появились на рынке в 2012 году, причем открыто заявили о своих фичах, но до сих пор находятся люди «уличающие» их в воровстве персональных данных. Наверное это заговор, что они 6 лет собирают статистику и их еще не прикрыли.
Причем в интервью Цахи Боуссиба открыто заявлял о фичах.
apptractor.ru/measure/user-analytics/zahi-boussiba-appsee-interview.html

[Sabubu]

Если они появились 6 лет назад, то к ним должно быть какое-то особое отношение? Не понимаю.

Одно дело — презентация для специалистов отрасли, другое дело понятное простому пользователю объяснение.

Вот смотрите, фейсбук тоже ведь ссылался на всякие документы, мол мы давно работаем и всех все устраивает, а как оказалось, что он может быть причастен к влиянию на выборы, законодатели его прижали, так сразу запел по-другому: мы и доступ закроем, и проверим другие приложения, и интерфейс улучшим. Капиталисты, увы, кроме государственного кулака, другого языка не понимают.

[Source]

Не волнуйтесь, фейсбук тоже за вами следит и будет следить, как бы его ни прижимали. А если б вы знали как следят Google, Apple и MS, вообще давно бы от смартфонов отказались xD

[FrankSinatra]

Нет это всего лишь говорит, что они 6 лет работают на рынке Америки и Европы и ни у кого к ним не возникло серьезных вопросов. Пример с фейсбуком тут причем? Это политическое разбирательство, а не нарушение каких-то законов. И человек, которого вы защищаете пока что не предоставил фактов передачи видео на сторону, но нагнал пурги, которую понесли все СМИ без понимания, что они даже сообщают, в итоге паника посеяна из-за одного некомпетентного человека и толпы зевак, которые без понимания верят во все, что им сказали.

[avost]

Меня беспокоит только человеческое невежество, которое порождает панику. Appsee появились на рынке в 2012 году, причем открыто заявили о своих фичах

А вы всерьёз уверены, что если конечный пользователь не прочёл документацию, предназначенную для разработчиков использованной в приложении библиотеки, то он — невежда? Я, как пользователь, понятия не имею, что вообще в природе есть какая-то аппсии, которая внезапно пишет видео. Я ставлю бургер-кинг, я не ставлю аппсии. Почему, желая купить бутерброд, я должен штудировать техдокументацию неведомого мне аппсии и читать интервью неведомого мне Цахи и как я вообще должен узнать о его существовании? И даже в пользовательском соглашении НЕ написано, что будет писаться видео с девайса, а, тем более, тонкости с заблуриванием нужных полей.
Да, и что касается блура. На хабре было несколько статей о том, как успешно восстанавливать забруренные данные. Причём восстанавливается картинка, даже не имея алгоритма блура. А уже если есть в наличии алгоритм, то задача восстановления данных выглядит вообще тривиальной (я не утверждаю, что так и есть, но это выглядит крайне странно — зачем вообще блурить, а не вырезать поля полностью?).
Да и ссылки на заявления о том, что они не будут использовать полученные данные выглядят, как "мамой клянус!". Для того, чтобы точно НЕ использовать полученные данные (намерненно или случайно, для пользователя это не важно) нужно точно их НЕ собирать. А они собирают. Вот в чём проблема. А не в том, что какой-то Цахи когда-то открыто заявил — "мамой клянус".

[JC_IIB]

Тут, в общем-то, три исхода.
Либо он реально нашел дыру, и по какой-то своей причине не выкладывает видео с пруфом, вероятность этого исхода — стремительно уменьшается с каждым часом. Чего он ждет — непонятно, люди могут и повторить описанный трюк, и получить опровержение, которое будет даже еще громче, чем исходный пост.

Либо он ошибся, но словил хайпа, публикация разлетелась по агрегаторам, десант заминусил аппу БК в сторах, и теперь ему не хватает духу сказать «Сорян, посоны, я прогнал». Не будем забывать также и про то, что в этом случае БК может и ответить иском.

Либо — я не исключаю — это продуманная рекламная кампания БК-шных конкурентов. А может — и самого БК, учитывая их склонность к эпатажу. А может, и вирусный вброс с неясными (хотя определенные соображения уже есть) целями и заказчиками.

[W0xel]

Видео опубликовано пользователем пикабу. Чекните в поиске «А что такое этот ваш AppSee? [Re: Приложение Burger King тайно записывает экран телефона! ]» на пикабу/хабре

[Source]

Понятно, что всё ради хайпа… Человек сам идёт на явное нарушение правил Хабра, и думает, что крупные компании так же неадекватны и закон им не писан.

А вот почему из тысяч приложений, которые используют AppSee, было выбрано именно это? Вопрос отдельный. И не исключено, что имеет место спланированный вброс.

P.S. Ну а почему до сих пор нет видео-пруфа — возможная причина только одна. Видимо, там просто нет пруфа :-)

[Superl3n1n]

Тем не менее реакция представителя Бургер Кинга очень однозначна. Правда хорошо бы кроме скриншотов, оставлять ссылки на страницы с комментариями (даже в личном бложике). Но не исключено, что автор поста просто пока перебывает в эйфории от поднятого хайпа.

[u4b]

Реации представителей Бургер Кинга еще не было. По крайней мере на Пикабу. Там был точно такой же вброс. Возможно, от самого же автора данного «разоблачения».

В посте была указана несуществующая почта. Я это проверил и написал об этом. И пост сразу же был удален. «Непрокатило, вычеркиваю».

[gekka107]

Ответили, говорят что получают только обезличенную аналитику, и про gdpr не забыли упомянуть.

[Sabubu]

Человек информирует людей. Ведь нормальный пользователь вряд ли ожидает, что кто-то подглядывает ему в телефон, когда он смотрит каталог бургеров.

Информирования никогда не бывает мало. Надо, чтобы каждый пользователь знал про такие приложения и не устанавливал бы их. Чтобы про это писали СМИ. В борьбе с врагом все средства хороши.

[zvonok1337]

Здесь видно абсолютную безграмотность и отсутствие опыта у молодого специалиста в сфере разработки мобильных приложений. Опыт придёт со временем, ничего страшного.

Куда страшнее отношение общественности к данному явлению. Если зайти на сайт-первоисточник, то там первый комментарий в топе имеет смысл: "это что, оно хранит данные банковской карты, если я ввожу их?". Большинство пользователей подхватило и все, хаос обеспечен.

Интересно, если на пикабу создать пост про вебвизор, который упомянули выше, то какие обороты паранойи среди обычного населения он наберёт?

[Sabubu]

А почему люди должны использоваться в качестве подопытных свинок? Приложение рекламирует себя как приложение для заказа бургеров, а не приложение для бесплатной работы тестером.

[unlor]

Потому что без аналитики подобного плана эти же люди потом пишут отзывы типа «вот эта кнопка очень неудобная, тут ни черта не понятно, вот этот пункт меню нужен всегда на первом экране, а вы его спрятали на третий уровень» ну и т.д.
Это не «тестирование», не путайте теплое с мягким. А в случае если действительно записывается видео, а не просто тапы по экрану — это скорее реализация методом наименьшего сопротивления.

[Sabubu]

Это и есть дикий нерегулируемый капитализм (нарушение ожидаемой приватности пользователя, оправдываемое спрятанным где-то в privacy policy пунктом). Это мы уже проходили — без государственных ограничений бизнес всегда приходит к каким-то диким и невыгодным большинству решениям. Например, до принятия законов о труде бизнес выстроил ситуацию, в которой люди должны были работать излишне длинные смены за минимальную плату (хотя что скрывать, это и сейчас есть, например в сфере так называемых «сервисов заказа такси»).

То, что капиталисту неудобно, еще не повод устраивать слежку за пользователем. Пусть своим разработчикам камеру на лоб повесят и они круглосуточно с ней ходят, если им так нужна аналитика.

[unlor]

Т.е. вы к подобным вещам вообще отношения не имеете, полностью проигнорировали то, что я написал по поводу UX и видите в этом только нарушение личного пространства?

[falstaf]

А в чём приватность пользователя нарушается, можете рассказать? Ну и про слежку тоже интересно. Мне, например, как параноику со стажем, не очень понятно, какие-такие приватные действия вы осуществляете при заказе бургера. И как же тогда быть в самих заведениях, ведь там — о боже! — кто-то может услышать ваш заказ и узнать ваши вкусовые предпочтения.

Ну и вообще, если кого-то что-то не устраивает в условиях предоставления услуг какого-либо сервиса, то очевидным и логичным выходом из этой ситуации будет перестать им пользоваться, разве нет? Лично я так обычно поступаю. А то устроили чёрт знает что на пустом месте. Ещё и СМИ радостно эту тему репостят теперь, а хомячкам лишь дай пищу.

[MINYSMOAL]

Более того, скорее всего такие данные обезличены. Зато вот в заведениях, явно понятно кто и что и сказал, но ведь это мало кого волнует.

[vlivyur]

В смысле обезличены? Они знают всё до номера телефона и номер заказа наверняка не тайна, и где забирать ты его будешь, тоже знают.

[Fracta1L]

Омг, краснопузым только дай повод залезть на броневичок и потолкать свою демагогию о клятом капитализме. Святые нашлись.

[Sabubu]

Интересная психология у людей.

Имеется явный случай ущемления прав пользователей и обмана их компанией (скрытая съемка экрана приложения).

При этом в комментариях все ищут в чем бы обвинить автора (а не компанию). Мол, он славы ищет, не знает кухни разработчиков, все так делают, надо читать договор и тд. Отчего так, интересно? Вряд ли ведь они все работают в сервисах аналитики.

[MedicineMan]

А причем тут психогия людей? Разные люди, разные мнения. Есть такие как вы, которые его защищают.

[MINYSMOAL]

Ну наверно, потому что автор не предоставил нормальных пруфов? Все-таки Бургер то поавторитетней будет ;)

[DnV]

Он предоставил пруф записи экрана, просто для многих сбор статистики без явного разрешения пользователя и возможности отключения — норма. На самом же деле, эта дичь до сих пор легальна лишь потому, что большинство даже не знает о подобных «фичах» в приложениях. Плохо это даже просто потому, что просто жрёт батарейку на смартфоне больше необходимого! Значит любой хайп тут полезен, голосую за автора вне зависимости от того, замазываются ли пароли и используется ли мобильный трафик конкретно в приложении БК.

[MINYSMOAL]

Верно, но тогда надо было рассказывать про такую штуку как appsee, каковы ее функции в различных приложениях и обсуждать с людьми хорошо это или плохо, а не тыкать пальцем в бк, говоря какие они плохие. акценты немного не правильно выставлены имхо, отсюда и недопонимание и наезды на автора.

[lorc]

Имеется явный случай ущемления прав пользователей и обмана их компанией (скрытая съемка экрана приложения).

Если вопрос об ущемлении прав еще можно обсудить, то вот с обманом все сложнее. В чем БК обманул пользователей?

[xa6p]

а где посмотреть все адреса всех серверов аналитики, таргетинга и прочего маркетинга? разрабы хотят копеечку и удобств, а мне хотелось бы контролировать свой трафик средствами iptables.

[Sabubu]

Я думаю, капиталисты считают, что это не ваш, а их трафик и им не очень хочется, чтобы вы его контролировали.

[unlor]

где-то в гугле. По запросам «сервисы веб-аналитики». Только предупреждаю, их овер9000. Я только работал с парой десятков, а уж сколько их на самом деле и представить сложно.

[MedicineMan]

UploadVideoONCrash=True.
Видео отправляет только когда приложение вылетает. Предполагаю, что всё это нужно для того чтобы смотреть, что пользователь делал до вылета.

[Arty_Fact]

UPD: Роскомнадзор обратился к Бургер Кингу через группу в вк.
Как вам такой уровень защиты ПД?

[Sabubu]

Если РКН это прикроет — это будет его первое полезное дело за все время существования. Увы, дикий капитализм кроме государственного кулака, ничего другого не воспринимает.

[Makc_K]

Уже СМИ, подтягиваются:
lenta.ru/news/2018/07/12/burger

[Skler0z]

Из текста новости: «Мужчина обнаружил в коде программы строчки»
Ахахахаа.
Вот как взять и у… бы!

[whiteglasses]

Очень странно видеть так много наездов на автора, и очень много реакций в духе «да, подглядываем и будем подглядывать, это вообще нормально». «Мы повесили в туалете камеру, но она честно-честно отворачивается, когда вы штаны расстёгиваете. Кстати, оплатите расходы на камеру.»

Мне не хочется чтобы за мной подглядывали. И большинству не хочется. Если за мной хотят подглядывать, мне должны об этом понятно сказать. Не мелким шрифтом на юридическом языке, а большими буквами и понятными мне словами. Я не должен знать про AppSee, аналитику и т.п. Но должен иметь возможность отказаться от слежки ещё до того как её начнут.

Это вот такие наглые и беспредельные методы слежки вызывают распространение блокировщиков рекламы. Это вы, любители собирать всю информацию без спроса и разбора, спровоцировали появление GDPR. Дальше будет только круче.

Это борьба меча и щита, почему должны совершенствоваться только методы слежки и не должна расти защита от неё. Она и растёт, да пока отстаёт. Потому что сейчас политика «по-умолчанию разрешено, если явно не запрещено». Но с такой бесцеремонностью разработчиков, провайдеров и всех остальных, мы серьёзно рискуем со временем оказаться в интернете, где по умолчанию всё запрещено. И это будет плохо для всех. Но может хоть перестанут подглядывать за мной в душе.

Посмотрите как в том же android от версии к версии закручивают гайки с доступами приложения. Всё труднее становится жрать батарейку в фоне, и читать смс пользователя.

Просто людям всё больше проблем начинают доставлять данные о них, оказавшиеся в открытом доступе. Не долго осталось ждать, когда даже дети будут понимать, что не всё можно и нужно выкладывать в интернет.

Мне почему-то надо поверить, что BurgerKing и AppSee замечательные ребята, которые так заботятся о моих данных. Чётко соблюдают свои соглашения и никогда на допускают утечек. Вот только обычно оказывается, что в приложении не поставили пару флагов, на сервере видео доступны без смс и регистрации, а юристы будут трактовать соглашение как угодно лишь бы выгодно для компании в данный момент. А кто не согласен — лох, ламер и т.п.

Да сейчас с приватностью всё плохо и дальше будет хуже. Но это не значит, что надо лечь и расслабиться. Спасибо автору, что его эта проблема волнует, что он привлекает к этой проблеме внимание. Меня тоже волнует. Пусть больше людей знает, что и куда их телефон шлёт.

[dom1n1k]

Как принято говорить, ППКС

[fennikami]

Спасибо Вам большое.
Я очень устал от всей этой ситуации, но главное то, что все-таки донес важное —
люди далекие от IT узнали про AppSee и про кошмарное руководство IT-раздела БК.

[Source]

А почему Вы написали статью не про AppSee, а про БургерКинг?
Лень было с десяток приложений проснифать? Они ж даже не скрываются… busuu, ebay, gett и т.д.
И в чём кошмарность IT-раздела БК? Все остальные приложения, использующие AppSee, в чём-то принципиально лучше его используют?

[Source]

Я думаю, любому опытному программисту очевидно, что логгирование или мониторинг — это неотъемлимые части любого проекта в production. От этого никуда не уйти до тех пор пока мы не научимся создавать математически корректные программы с идеальным UX. И никакой штат тестировщиков и фокус-группы тут не помогут.
Это не вопросы приватности, это вопросы доверия. Если вы собираетесь совершать какие-то действия, направленные на раскрытие данных, которые вы считаете секретными, то не пользуйтесь для этих действий приложениями компаний, которым вы не доверяете. А если боитесь диверсий и утечек в рамках компании, то вообще никакими приложениями для подобных действий не пользуйтесь. Никакого другого выхода тут даже теоретически нет.

P.S. В том, чтобы фигачить видео-трансляцию экрана, лично я не вижу особого смысла.

[whiteglasses]

Я думаю, очевидно, что для мониторинга туалета можно повесить там датчик движения, а можно и видеокамеру. Наблюдать и мониторить можно по разному.

Говорят, что 100% улиц Лондона просматривается видеокамерами. А скоро и в других крупных городах так будет. По вашей логике мне теперь на улицу выходить не надо. Или всё-таки надо бороться, чтобы к этой картинке ни в коем случае не подпускать рекламщиков, чтобы хранилось надёжно, не бесконечно, чтоб контроль доступа был.

Логика не пользуйтесь — это как с наркотиками. Почему не говорят просто «не пользуйтесь». Нет, их запрещают. И людей убивать запрещают. А могли бы просто сказать, ну вы не ходите на улицу, раз там убить могут.
Выходы есть и теоретические и практические. Вот как-то общество договорилось, что заходя в магазин, ты там не все деньги оставляешь (как магазину хочется, всем магазинам хочется), а только сколько сам захочешь. И тут будет достигнуто соглашение, что покупая гамбургер, я не даю кафе права подглядывать мне в телефон. Я только покупаю гамбургер.

[Source]

Наблюдать и мониторить можно по разному.

С этим я согласен. Но это и есть про доверие. Вы не можете определять как осуществляется мониторинг. Вы можете либо доверять какой-то конкретной компании в том, что она не собирает лишнее (хотя остались ли такие с нынешней модой на BigData?), либо не пользоваться её услугами.

Говорят, что 100% улиц Лондона просматривается видеокамерами. А скоро и в других крупных городах так будет. По вашей логике мне теперь на улицу выходить не надо.

Почему не надо? Вы там преступления что-ли совершаете?

чтобы хранилось надёжно, не бесконечно, чтоб контроль доступа был.

Ну и как вы будете за это бороться? Любая нормальная компания сама за всё это обеими руками, но гарантировать 100% надёжность вам никто не в силах. Даже банки вскрывают, а уж у них априори защита всегда будет получше, чем у хранилища полусырых данных.

Логика не пользуйтесь — это как с наркотиками.

Не понял пареллели. Если только в том, что фаст-фуд — это как наркотик для некоторых?
Тут скорее аналогия "если не хотите, чтобы прохожие могли вас видеть, — не выходите на улицу". Во, кстати, есть какой феномен "бабушки у подъезда" — это прямой аналог мониторинга, они знают в какое время вы уходите, в какое возвращаетесь, могут обсуждать эту информацию и строить гипотезы. Могут сливать эту приватную информацию посторонним людям. Вы даже не подписывали с ними ToS, в общем это всё крайне возмутительное нарушение приватности. Пожалуй, надо написать разоблачение на Пикабу )))

И тут будет достигнуто соглашение, что покупая гамбургер, я не даю кафе права подглядывать мне в телефон. Я только покупаю гамбургер.

Так они и не подглядывают, если вы зашли в кафе купить гамбургер. А если установили их приложение на телефон, будьте по умолчанию уверены, что всеми выданными разрешениями они пользуются на всю катушку.

[whiteglasses]

Сейчас вопрос переходит из плоскости «доверия компаниям» в плоскость «доверие государственным институтам регулирования компаний». Компании потеряли доверие людей в вопросах защиты информации. И люди обращаются к государствам. Так же как государствам передали другие важные вопросы типа оборота оружия, наркотиков, насилия. Почему-то компаниям эти вопросы решили не доверять. Люди не хотят, чтобы в лицензионном соглашении был пункт, что компания вас может убить и ограбить. «Вы же галочку поставили».

[Source]

Во-первых, вы передёргиваете. А во-вторых, с чего вы взяли, что у государственных институтов получится лучше? Кончится вся эта истерия тем, что останемся мы и без Google и без Apple за новым железным занавесом. И так уже LinkedIn заблокировали, Telegram пресуют, а вам всё мало.
Я уж молчу про государственный мониторинг, который уже за всем трафиком, а заодно и за звонками и СМС следит, и наврядли деперсонализированно.

[whiteglasses]

Вы не путайте тёплое с мягким. Контроль над национальным интернетом и контроль над персональными данными — это разные истории. Хотя у них есть и пересечения.

И да, государству не очень доверяют, но частным компаниям доверяют ещё меньше.

[Source]

Чего это я путаю?.. LinkedIn заблочили как раз потому что они не захотели покупать сервера в РФ для хранения персональных данных. Я надеюсь, Вы понимаете зачем для этого нужны сервера в РФ? Телеграм хотят закрыть за то, что не даёт доступ спец.службам к персональным данным (перепискам).
Частные компании собирают данные о вас, чтобы улучшить свой продукт и чтобы пользователям же было удобнее. Причём удобство тут меряется конверсиями, поэтому данные деперсонализируют просто исходя из соображений удобства. А вот государство как раз хочет иметь полный доступ к очень даже персонализированным данным. Законы для защиты приватности — это как пчёлы против мёда.

[whiteglasses]

LinkedIn заблочили как раз потому что они не захотели покупать

Конечная задача — технический и юридический контроль надо отечественным сегментом интернета. Как в Китае. Linkedin сказал, что законам вашим не буду подчиняться, ну его демонстративно и заблокировали, благо ничего от этого не сломалось. Персональные данные тут просто предлог. Мог быть и другой какой-нибудь закон. Важен принцип: чтобы работать на территории страны — нужно соблюдать её законы. Европейский GDPR про то же самое: хотите работать у нас — делайте как мы скажем.

Ну а про частные компании радеющие о пользователях… Частные компании интересуют только деньги. И они будут делать то, что позволит им заработать как можно больше денег. Если бы за продажу рабов не сажали в тюрьму — продавали бы рабов, без сантиментов. Выгодно продавать пользовательские данные — будут их продавать. Вот свежий пример был с cambridge analytica. Все хотят доступа к вашим данным. И если от государства их никак не спрятать, то хоть от частных фирм хочется.

[Chamie]

Конечная задача — технический и юридический контроль надо отечественным сегментом интернета. Как в Китае. Linkedin сказал, что законам вашим не буду подчиняться, ну его демонстративно и заблокировали, благо ничего от этого не сломалось. Персональные данные тут просто предлог. Мог быть и другой какой-нибудь закон. Важен принцип: чтобы работать на территории страны — нужно соблюдать её законы. Европейский GDPR про то же самое: хотите работать у нас — делайте как мы скажем.

Знаете, ответ уровня «Он умер, потому что его столкнули с крыши — Нет! Он умер, потому что ударился об асфальт после падения».
Конечная задача чего — контроль над сегментом? И что такое этот «сегмент»?

Персональные данные тут просто предлог. Мог быть и другой какой-нибудь закон. Важен принцип: чтобы работать на территории страны — нужно соблюдать её законы.

Как вы это вообще в одном абзаце сочетаете? «Его наказали по закону, но это только предлог, а главное — чтобы все соблюдали закон».

Частные компании интересуют только деньги. И они будут делать то, что позволит им заработать как можно больше денег.

Частные компании делают то, чего хотят их владельцы. Если их владельцев интересуют только деньги — то да, так и будет. Но не всех интересуют только деньги.

[Sabubu]

Что вам мешает при установке приложения спросить у пользователя разрешение на видеозапись экрана? Так вы будете не шпионить за пользователями, а они будут осознанно и добровольно делиться с вами информацией в обмен на улучшение приложения.

Подумайте, почему компании так не делают. (ответ: потому что во многих странах закон их к этому не обязывает, шпионить выгоднее чем не шпионить).

Вы предлагаете систему, в которой выгоднее обманывать пользователя, чем быть честным. Как с банками, которые до принятия закона не хотели писать полную сумму кредита, а предпочитали составлять максимально сложные документы с кучей условий и оговорок.

[Source]

Я не занимаюсь мобильной разработкой и не ем бургеры, поэтому не в курсе как выглядит установка их приложения. Но есть у меня подозрение, что разрешение они спросили, так просто ни Android, ни iOS ничего не разрешают. Просто среднестатистические пользователи болт клали на список запрашиваемых разрешений, иначе ни один человек, опасающийся тотальной слежки, не установил бы официальный клиент того же Vkontakte, который вообще практически полный доступ ко всем возможностям телефона запрашивает. И vk тут не одинок, таких приложений каждое второе из топовых.

[vlivyur]

This app has access to:
Location
Uses the device's location
Photos / Media / Files
Uses one or more of: files on the device such as images, videos or audio, the device's external storage
Camera
Uses the device's camera(s)
Device ID & call information
Allows the app to determine the phone number and device IDs, whether a call is active and the remote number connected by a call
Other
receive data from Internet

[BingoBongo]

Очень интересно мнение тех кто поддерживает данную фичу (реалтайм отправка видеозаписи экрана приложения с замазанными данными банковской карточки): если у AppSee дополнительно начнет записывать видео с вашим лицом фронтальной камерой для отслеживания эмоций (чтобы также предоставить обратную связь по интерфейсу), а потом слать эту запись для обработки нейросетью на свой сервер, то будете ли вы против этого? Хотя конечно лицо — это «персональные данные», но можно найти какую-нибудь лазейку, что, например, будут отсылаться только область рта и глаза, да и в пользовательском соглашении все будет прописано.

[MINYSMOAL]

То есть, если приложение отправляет данные, куда тыкал и что делал пользователь, в текстовом виде — это окей, а вот если видео, то — обожемой проклятые капиталисты следят за мной в кровати. все верно?
Кстати, вы по кусочку рта сможете определить личность? Достаточно чтобы в terms было прописано, что данные должны быть обезличены.

[plMex]

Нет, просто изначально условные приложения собирали «анонимную статистику» о своей работе там — модель телефона, количество свободной памяти, загрузка CPU, стек вызовов во время крэша и т.п. Кроме того, им были нужны разрешения на обработку персональных данных, т.к. номер телефона — уже персональные данные, а к нему привязывается заказ и т.п.

А потом кто-то «умный» сел и подумал: а что, разрешение на сбор аналитики у нас от пользователя есть, разрешение на хранение и обработку персональных данных тоже — почему бы теперь и не собирать всё подряд? А чтобы не париться с изобретением велосипеда — наймём аутсорсера.

В результате и получается, что у них есть разрешения на сбор и использование персональной информации, равно как и отсылку «аналитики» третьим лицам и они вроде «ничего не нарушают», только вот это не совсем то, что ожидали пользователи выдавая эти разрешения.

[MINYSMOAL]

Я с вами согласен, если приложение собирает персональную информацию по которой можно явно идентифицировать конкретного пользователя, то это никуда не годится, даже если прописано в terms of use. Но тут думаю все-таки речь про условного юзера, чтобы проработать ui/ux.

[man_without_face]

Парень, на тебя накинулись только из-за одного: тебе 18. Сейчас Хабр изменился и все стали дико обидчивые, особенно, если кто-то что-то сделал, а они не пострадали на какую-то тему. Для них ты ещё ребёнок, а значит что-то сделать просто не можешь.

Так что вперёд, и не обращай внимания ни на кого.

[fennikami]

Спасибо. Такие теплые слова очень вдохновляют и помогают идти дальше.

[man_without_face]

О карме тоже не переживай. Новый аккаунт и вперед. Никто и не свяжет vasya_pupkin с lola_burger. :)

[artemerschow]

на тебя накинулись только из-за одного: тебе 18

Вы вот сейчас серьёзно? Будь ему хоть 12, хоть 87, всем как-то плевать. Я подобного рода предвзятости тут лишь за отдельными мракобесами замечал, когда они за гомеопатии, да астрологии всякие затирали в комментах.

[man_without_face]

Ну мне-то не лечи)

[artemerschow]

Недорос для этого?) А если серьёзно, то тут, пусть и эмоциональная, но вполне обоснованная критика, почему автор не прав. Каким боков вы тут притянули возраст, я вообще хз

[man_without_face]

Хорошо, я вас понял, вы правы и всё такое, продолжайте движение по ветке комментариев дальше.

[Mikhail_dev]

Здесь было несколько статей от школьников, которые были восприняты хабром без всяких ваших «да потому что тебе 18». Вот например, школьнику 15 — Как я создавал приложение, но был вынужден закрыть из-за действия закона
Но вам то конечно лечить не стоит, вы же всё знаете

[man_without_face]

Я ж говорю — обидчивые стали)) Чуть что против массы, так гадить будут по самое не хочу. Этому парню опустили карму и теперь он вообще не сможет писать постов (хотя вполне мог бы, как-никак не по подъездам шоркается). Мне ещё накидали (пусть даже я 100 раз не прав, это моё мнение). Ну и ниже, как бонус: habr.com/post/416919/#comment_18875097

[Astus]

Не увидел дискриминации по годам в обсуждении. Ну ок — зачем в принципе начинать пост с указания возраста? Только лишь, чтобы показать какой молодой, а уже какой заговор вскрыл? Только вот и заговора нет, и 18 — это уже взрослый человек.

[fifiusha]

Я считаю, что дело не в том, что приложение отправляет что-то персональное или нет. Я солидарна с автором в том вопросе, что приложение должно рассказывать пользователю о таких действиях и запрашивать разрешение на такое отслеживание. А не «запрос на доступ», которые непонятно зачем ему нужен. И да, несмотря на то, что приложение ПД не отправляет, для меня такое отслеживание моих действий — неприятное открытие. если бы меня напрямую приложение попросило об этом, ничего такого бы в этом не было. Но вот так об этом узнать — это неприятно.

[denis-19]

Народ сейчас будет тестить другие приложения на подобное и откроется ящик пандоры…

[topvsehtopov]

Уважаемые сисадмины, выручайте: нужно придумать 10 несложных вопросов для сисадминов (мне надо будет из них составить тест небольшой, он нужен для профессионального праздника сисадмина) Накидайте варианты вопросов, пожалуйста

[khrundel]

Одно непонятно: нафига видео? Его ж разбирать надо. Не проще писать, например, айдишники кнопок и потом автоматом обрабатывать данные, что там чаще нажималось и т.п.?

[man_without_face]

Пост классный, но автор негодяй =))))

[FrankSinatra]

Автор накидал обвинений, но доказательств не предоставил.

[MINYSMOAL]

Для того, чтобы понять почему так достаточно просто почитать его ответы здесь, на вполне справедливые замечания. А сама «проблема», которая отражена в посте, волнует многих.

[artemerschow]

Плюсы посту, потому что, во-первых, публика разношёрстная, тема близка, а компетенции сходу понять, что это не совсем то чем кажется, не у всех хватает. Да и к поспешным выводам все склонны. Пролистали, вроде норм, молодец — плюсик. Потом читают комменты и понимают, что были не правы, как и сам автор. А вот в карму минусы, полагаю, оттого, что автор стоит на своём не слушая доводов. А может потому что обманутыми себя почувствовали — пост то не минусанёшь обратно. Мне так кажется, по крайней мере

[FrankSinatra]

«Мобильное приложение Burger King с удаленным заказом не собирает персональных данных своих подписчиков. Все транзакции надежно защищены одним из лучших эквайеров страны — »Яндекс.Касса". Данные о поведении пользователей в приложении не содержат информации о банковских картах и не хранятся на сервере", — сообщает компания.

Burger King отмечает, что все данные обезличены и закодированы. " Приложение Burger King действительно подключено к одной из самых известных во всем мире и защищённых аналитических платформ — AppSee, которая позволяет выявлять технические проблемы и другие «узкие» места в работе приложения. Эта система не имеет ничего общего со сбором персональных данных, более того, ни мы, ни специалисты AppSee не видят персональных данных (они приходят на сервер в обезличенном виде) ", — пояснили в компании.

tass.ru/ekonomika/5368255

[MINYSMOAL]

В отличии от автора, пользователь u4b выкладывал видео, где действительно видно, что данные банковских карт скрыты.

[FrankSinatra]

Автор накидал обвинений, не предоставил доказательств. По сути он показал, что бургер кинг собирает аналитику в своем приложении, но ее собирают повсеместно.
Обвинил AppSee в получении и распространении конфиденциальной информации.
Вдобавок ко всему, эту информацию разнесли СМИ, что несомненно привело к панике на ровном месте среди пользователей, которые вообще не понимают назначение AppSee. И на хабре это воспринимают нормальным.

[MINYSMOAL]

Вы меня видимо не так поняли, либо я ваш ответ.:)

[v0l0diab]

Приведите пожалуйста хоть один пример «обвинений» в статье. И заодно опровергните хотя бы один факт из изложенных в статье. Про доказательства вообще не понятно — доказательства чего? Про то, что номера карт будут доступны сторонним лицам, в статье нет ни слова. Факт записи налицо. Факт отправки налицо. «Заблюрены» там эти поля или нет — лично мне вот все равно, откуда мне знать что с этими полями было сделано ДО «заблюривания». А паника, она на ровном месте не бывает.

Кстати, понравилось как РКН в вк ответил любителям потыкать в GDPR, написали мол мы тут вообще-то работаем по ФЗ 152.

[StallinHrusch]

«Заблюрены» там эти поля или нет — лично мне вот все равно, откуда мне знать что с этими полями было сделано ДО «заблюривания».

Ну тогда уж и факт записи видео тут не важен, можно же просто эти даннае в http-реквесте передать =)

[Source]

Вот это самое эпичное во всей истории. Люди истерят, что записывается экран, на котором заблюрены данные карты. При этом всерьёз рассуждают, что кто-то может написать алгоритм разблюривания. И совершенно упускают из вида, что эти данные вводятся в обычную форму и доступны приложению без всяких видео. Если уж подозревать БК в воровстве кредиток, то чего бы им напрямую их себе не сохранять, без всяких AppSee?

[MINYSMOAL]

Вы в блог автора заходили? Он везде пишет: внимание внимание приложение крадет данные банковских карт!!111

[v0l0diab]

Какой еще блог? Зачем мне заходить в какой-то там блог? Мне все равно, что автор там писал когда либо на заборе. Меня просто не устраивает, когда люди начинают предъявлять авторам какие-то надуманные обвинения, фактуры по которым в статье вообще нет.

[MINYSMOAL]

Действительно зачем. ну тогда потом не удивляйтесь, что все русские сми пишут, что БК сливает данные банковских карт :)
Вы ветку комментариев к данной статье всю читали?
Там по словам автора более явно написано, что да, данные карт сливаются.

[v0l0diab]

Специально перечитал все ответы автора, ни одного коммента с упоминанием факта «слива данных банковских карт». Пример в студию, пожалуйста.

[MINYSMOAL]

habr.com/post/416919/#comment_18873465
Ну и далее поехали ниже читать про сенсетив вью

[v0l0diab]

Там по словам автора более явно написано, что да, данные карт сливаютс

Так где явно написано то?

[MINYSMOAL]

Поясняю на простом языке — если автор утверждает, что сенситив вью не стоит на данных полях, то это значит что они передаются 3им лицам. В общем можете дальше ударяться в демагогию ;)

[FrankSinatra]

Ну и вишенка на торте: экран записывается даже тогда, когда Вы вводите данные своей банковской карты в приложении (и это необходимо для осуществления заказа). Заметьте, все данные.
И финальная вишенка: мало того, что записывать экран — весьма сомнительное занятие, так еще к записанным видео имеют доступ не только разработчики приложения Burger King, но и различные партнеры AppSee (то есть — совершенно левые люди с неизвестными намерениями), да и сам AppSee тоже.
Напомню — видео записывается даже тогда, когда вы указываете данные своей банковской карты. И к нему имеют доступ кто попало.

А это не похоже на «обвинение»? В утвердительной форме автор написал что номер карты и другие данные попадают в AppSee и к другим «левым людям», его попросили доказать такие высказывания, он молчит.

[v0l0diab]

Ну вот вы серьезно? Русским же языком написано, более чем понятно:
«экран записывается», «к записанным видео имеют доступ», «И к нему имеют доступ кто попало» — очевидно же, что к видео. Где там написано, что номер карты попадает к левым людям то?

[Hardcoin]

В тексте и написано. Видео пишется, когда вводишь данные карты, к видео имеют доступ все подряд -> к данным карты имеют доступ все подряд.

То, что автор не написал эту фразу напрямую, значения не имеет. Он представил всё так, что этот вывод логично вытекает. Умолчал просто, что данные карты размываются.

[FrankSinatra]

Ну и вишенка на торте: экран записывается даже тогда, когда Вы вводите данные своей банковской карты в приложении (и это необходимо для осуществления заказа). Заметьте, все данные.

Напомню — видео записывается даже тогда, когда вы указываете данные своей банковской карты. И к нему имеют доступ кто попало.

Я понимаю написанное как: «Вы ввели конфиденциальные данные -> все записалось на видео -> видео передалось в AppSee и к другим людям, которые это смогут увидеть.»
Ни слова о том, что данные обезличены и скрыты, прямое утверждение о передаче видео с записью конфиденциальной информации.

[v0l0diab]

Я прекрасно понимаю, что логическая цепочка там вполне скаладывается в историю со сливом данных. Но это не равно

Автор накидал обвинений,...

И потом, не все ли равно что и как там обезличено. Насколько я понимаю, там и без видео телеметрии хватает. Лично меня вообще смущает сам факт телеметрии на экранах ввода банковских реквизитов.

[FrankSinatra]

Нет не все ли равно, обвинения вполне конкретные о сливе конфиденциальной информации о банковских данных, надо быть последовательными и думать что говорите.
Заявлять о сливе данных, не имея доказательств, такое себе занятие. Новость подается в контексте того, что специально тайно бургеркинг шпионит за клиентами и ворует их конфиденциальную информацию, но это совершенно не так.

[v0l0diab]

О сливе данных никто еще не заявил, это в другое заведение надо писать. А вот контекст как раз таки очень интересен. Потому что как раз сам факт «шпионажа», как Вы говорите, налицо, и подтвержден. Я уверен на 146%, что НИКТО из пользователей этого приложения не знал о видеозаписи.

Правильно ли я понимаю, что Вы оправдываете телеметрию на экранах с ПД, и доверите ее сбор какой-то там третьей стороне, главное чтобы там все было обфусцировано и соответствовало всяким там GDPR?

[u4b]

Это уже много кто проверил. Например, еще одно :)

С другой стороны, у автора вообще ни одного пруфа, кроме его слов. Так что даже один контрпример — уже достовернее.

[Sabubu]

Максимально размытые формулировки и отвлечение внимания (пассажем про «защищенную Яндекс кассу», которая к проблеме отношения не имеет) говорят нам о том, что проблема есть.

Данные о поведении пользователей в приложении не содержат информации о банковских картах и не хранятся на сервере

не хранятся на сервере

Это же феноменальное вранье. Получается, что они отсылают видеозапись на сервер и там она отправляется в /dev/null что ли? Или они считают видеозапись не «данными о поведении пользователей»?

все данные обезличены и закодированы.

Ага, закодированы в формат MPEG.

более того, ни мы, ни специалисты AppSee не видят персональных данных (они приходят на сервер в обезличенном виде) ", — пояснили в компании.

А под «обезличены» они видимо имеют в виду, что они передают не ФИО пользователя, а «обезличенный» appUserId (первый скриншот в статье), по которому — мамой клянус — никак не определить данные пользователя.

Как же возмутительно. Я сам работаю в индустрии разработки ПО и прекрасно знаю ее изнутри, но если это прочтет обычный человек, то у него создастся ровно противоположное впечатление, что все в порядке.

[plMex]

Кстати, защитники этого дела тут много раз ссылались на GDPR. Так вот я, из любопытства, нашёл его перевод (в оригинале читать сложновато, увы) и там есть следующее:

Для физических лиц должно быть прозрачно, чтобы личные данные о них собирались, использовались, консультировались или обрабатывались иным образом, и в какой степени личные данные обрабатываются или будут обрабатываться. Принцип прозрачности требует, чтобы любая информация и связь, связанные с обработкой этих персональных данных, были легко доступны и понятны, а также использовался понятный и понятный язык.
…
Персональные данные должны быть адекватными, релевантными и ограничиваться тем, что необходимо для целей, для которых они обрабатываются. Это требует, в частности, обеспечения того, чтобы период хранения персональных данных ограничивался строгим минимумом. Личные данные должны обрабатываться только в том случае, если цель обработки не может быть разумно выполнена другими способами.

Т.к. на захватываемом видео есть телефон пользователя — это персональные данные. Где в ToS «прозрачно» прописано про съёмку видео с экрана с действиями пользователя и как доказали что «цель обработки не может быть разумно выполнена другими способами»?

[ct64]

GDPR относится конкретно к AppSee, а не к приложениям, которые используют их услуги. В ToS прозрачно указано:

Пользователь дает согласие (а также третьими лицами для исполнения обязанностей Компании) на совершение следующих действий со своими персональными данными: сбор (получение), запись, систематизация, хранение, уточнение, извлечение, использование, передача (предоставление, доступ), блокирование, обезличивание, удаление и уничтожение, персональных данных, действия (операции) совершаемые с использованием средств автоматизации и оказание консультационных услуг по запросу физического лица, в том числе хранение сведений по запросу субъекта, проведение рекламных, маркетинговых и информационных компаний для клиентов, оформление и доставка заказа клиенту, хранение сведений о субъекте в соответствии с локальными актами Общества.

Я лично считаю, что это полностью покрывает функционал AppSee

[plMex]

Я лично считаю, что это полностью покрывает функционал AppSee

А я — нет. Закон 152 ФЗ, статья 18:

5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.

Т.е. чтобы отдать запись экрана организации в другой стороне БК должен гарантировать что в эту запись не попадут никакие персональные данные, а так как модуль «статистики» сторонней разработки, то они это гарантировать не могут.

[vlivyur]

Есть четыре вида лжи: ложь, наглая ложь, статистика и цитирование. Цитируйте целиком, потому что выше по тексту явно написано что ими понимается под «персональными данными» и там нет слов «видеозапись экрана».

[plMex]

выше по тексту явно написано что ими понимается под «персональными данными» и там нет слов «видеозапись экрана»

Там есть мобильный телефон. И хотя, с одной стороны, на сайте РКН в ВиО написано что телефон не является персональными данными, я думаю там речь идёт о городском телефоне, т.к. мобильный, в отличие от городского, позволяет однозначно идентифицировать человека (в РФ, по крайней мере, так же как и номер паспорта/ВУ).

Во-вторых, сегодня они закрашивают номер карты, завтра что-то сглючит и перестанет закрашиваться — это уже явно будут персональные данные, без оговорок.

[Sabubu]

На видеозаписи виден номер мобильного телефона, который идентифицирует в России конкретного человека и выдается только по паспорту. Следовательно видеозапись содержит перс данные, которые скрытно передаются с телефона гражданина РФ в израильскую компанию AppSee.

«Соответствие GDPR» скорее всего значит, что APpSee добавила галочки для закрытия полей плашками, и если разработчик их включит и настроит, то перс. данные не будут передаваться. А если не включит — то будут. То есть AppSee просто переложила ответственность на разработчика (и это правильно, так как AppSee это просто инструмент, который можно использовать по-разному).

Вы, увы, купились на эту фразу и интерпретируете «AppSee соответствует GDPR» как «приложение прошло проверку на соответствие строгим европейским законам», что неверно.

[vlivyur]

plMex, Sabubu
Что-то я не понял, как меня записали в сторонники AppSee.

[smurov]

Никого не смутила регистрация автора?

Приглашён
12 июля 2018 в 10:13 по приглашению НЛО

[vedenin1980]

А значок «Из песочницы» у статьи вас не смущает?

[smurov]

Да не увидел, прошу прощения

[v0l0diab]

Как много адвокатов скрытой слежки, создается впечатление что половина отписавшихся — действующие или бывшие сотрудники РКН/МВД/ФСБ. Особенно умиляют «наезды» на автора по поводу его неосведомленности о работе аналитических сервисов, мол «добро пожаловать». Я вот например не в мобильной разработке, и про AppSee всякие тоже не в курсе. Как и сотни миллионов обычных пользователей. И, сдается мне, если у этих пользователей спросить про отношение к подобным действиям «в целях улучшения UI/UX», чуть более чем все будут недовольны. Зато GDPR, SOPA, PIPA и еще миллиард «законных» оснований, ага. А потом мы удивляемся, что государство видите-ли блокирует нам котиков.

[jex]

Зато GDPR, SOPA, PIPA и еще миллиард «законных» оснований, ага. А потом мы удивляемся, что государство видите-ли блокирует нам котиков.

И я о том же, теперь у следителей есть отмазка «да у нас всё по закону, вон GDPR всё соответсвует». Где гарантия, что appsee не отключит закрашивание у конкретного пользователя или у всех, но на пару часов?

[StallinHrusch]

«Наезды» тут в основном за то, что тут предполагается только наличие проверенной и достоверной информации. А автор, не разобравшись как следует в вопросе, просто нагнал чепухи. Если не разбираешься в теме — зачем пилить посты? (это я про автора)

[nidalee]

Потому что реакция неадекватная. Это как если бы начали вводить законы о «праве первой ночи» и им подобные, а народ через 10 законов спохватился бы: «КАК ПЕНСИИ ПОВЫСИТЬ? ДА КАК ВЫ СМЕЕТЕ?»
Следит каждый второй, если не первый. Что все возмущающиеся с этим сделали за последние 5 лет? Гуглом перестали пользоваться? Windows? Телефон на кнопочный поменяли? Здесь публика технически подкованная, поэтому процентов 5 ответят на все вопросы «да». Остальные возмущающиеся уже на первом остановятся. Про пользователей пикабу уже все сказали до меня.
И что самое смешное — повозмущаются, а завтра откроют гугл, какой-нибудь ebay с точно таким же сервисом аналитики и будут радоваться жизни.
Кто-то тут уже что-то с этим делает? Может, хотя бы в спортлото петиции пишут? Рейтинг приложению скрутили, отлично — теперь составляйте список всех приложений, которые это делают — и вперед. Что мешает?
Для вас стало открытием, что на многих сайтах стоят вебвизоры? Что android по умолчанию пишет историю передвижений (геолокации) за месяц?

[plMex]

Для вас стало открытием,… Что android по умолчанию пишет историю передвижений (геолокации) за месяц?

Нет.

А вот какова будет ваша реакция, если сейчас, внезапно, выяснится что Google кроме этого ещё и ведёт конкретно за вашим телефоном (и его ближайшим окружением) круглосуточное видеонаблюдение при помощи спутников, дронов и камеры того же телефона?

Разумеется, только для уточнения ваших координат с целью улучшения своего сервиса GPS-позиционирования, которым вы пользуетесь для навигации. При этом вы с этим согласились сами, приняв пункт ToS «и другие доступные методы геолокации», так что он ничего не нарушает. Интимные моменты вашей жизни на видео он закрывает «чёрными прямоугольниками», так написано в технической документации для разработчиков API.

[nidalee]

Зачем преувеличивать? За пределы телефона приложение БК не вылезает, как и большая часть приложений и сайтов (впрочем, не все, кто-то для слежки уже на ультразвук перешел, а кто-то в кино камерами записывает вашу реакцию и автоматически анализирует — так что вы поздно спохватились про видео).
Если окажется, что гугл пишет все происходящее на экране всегда — я даже не удивлюсь. В конце-концов звук он уже пишет.
Я не защищаю БК — меня просто искренне веселит тот факт, что (почти) все возмущающиеся намеренно или случайно игнорируют другие приложения, которые занимаются тем же самым. А если приложение не будет видео писать, а просто тупо отслеживать все нажатия и введенный текст — вам полегчает? Телефон вы вводили — он записан. Данные карты вы вводили — при желании — они записаны. Все без видео. Сильно лучше стало? Только если трафик похудел, но у вас претензии не к нему, как я понимаю.

[Sabubu]

> Я не защищаю БК — меня просто искренне веселит тот факт, что (почти) все возмущающиеся намеренно или случайно игнорируют другие приложения,

Это аргумент ребенка «почему вы меня наказываете, другие ребята тоже хулиганили». Доберемся и до других приложений, слона надо есть по частям.

[nidalee]

Готов поспорить, что даже с приложением БК в средне-срочной перспективе ничего не случится.

[nidalee]

И нет, для минусующих: я не оправдываю БК, у меня он не установлен, я никогда им не пользовался и не собираюсь (хватает терминалов).
Но когда вы закончите свою «войну» с БК, пожалуйста, задумайтесь: в каких еще приложениях слежка осталась. Я только за, если им законодательно запретят этим заниматься. Но им не запретят.

[farwayer]

Ну надо же: бургеркинг следит за приложением бергеркинга! Куда мир катится!
Так будет видео с данными банковской карты? Или лог тачей с этого экрана по которому можно определить данные?

[devalone]

Ну надо же: бургеркинг следит за приложением бергеркинга! Куда мир катится!

проблема не в том, что следит, а в том, что тратит трафик(WiFi тоже не значит безлимит и бесплатно), ИМХО, подобная статистика должна отключаться в настройках, даже если они и замазывают на клиенте данные карты, не давать возможность отключить этот мусор просто некрасиво по отношению к пользователям

[xBrowser]

Никакой телеметрии не должно уходить с телефона пользователя, пока он явно не нажал кнопку «помогать проекту пользовательскими данными», «отправлять телеметрию». И точка.
Это должно быть применимо к любой программе и операционной системе. Иначе это не приведет не к чему хорошему.

[vikarti]

Только по факту это означает для разработчиков кучу проблем с выяснением что же у пользователя не так пошло, пользователь напишет в отзыв в сторе «разработчики гады! падает на самсунг с8» и поди пойми что там. Даже на support@ не напишут. Вот и приходится заниматься сбором данных.

Что это приносит пользователю? Например — исправление крешей и не корректного поведения приложения, в том числе на редких устройствах.

С рекламой кстати это напрямую — не связано обычно. Для рекламы есть свои, отдельные SDK и правила пользования ими.

[MacIn]

Это их, разработчиков, проблема. Crash'у должен сопутствовать дамп со стеком вызовов, запись экрана — по запросу.

[Welran]

Ну формально вы правы. Это проблема разработчиков. И они даже будут как то решать эти проблемы, но не так хорошо как если бы у них была аналитика. И у вас на телефоне просто будет больше глючных приложений и вы даже начнете думать что если приложение упало всего один раз из 10 запусков то это отличное приложение.

[Sabubu]

Пусть они при запуске приложения просто спросят разрешение на видеозапись. Кто не даст разрешения, тот будет дольше ждать (или вообще не дождется) исправления бага.

А теперь подумайте, почему так не делают? Потому что во многих странах сейчас выгоднее обмануть пользователя, а не быть с ним честным. Мы видим тут дикий капитализм, такой же, как был когда-то в трудовой сфере до принятия законов о труде (да и сейчас много где практикуется, например в сфере пассажирских и грузовых перевозок, где не соблюдаются нормы труда и отдыха).

Надо менять ситуацию, чтобы такая тайная слежка была невозможной.

[falstaf]

Я смотрю, клятые капиталисты — ваша излюбленная тема, почти в каждом своём комментарии упоминаете :)

[Sabubu]

Я использую слово капиталист только для обозначения «бизнес, который в погоне за прибылью готов переступить любые моральные рамки, стремится обхитрить потребителя (обманывать явно закон запрещает, но недоговаривать, прятать в длинных соглашениях и запутывать разрешает), затруднить получение полной информации, активно ведет пропаганду за т.н. свободный рынок и против госрегулирования, так как ему это выгодно». Одним словом будет короче.

По моему, это слово тут подойдет лучше всего. Я не сторонник коммунизма или диктатуры времен СССР.

Честный бизнес — это когда, например, человек печет хлеб без использования вредных компонентов, честно пишет его состав не мелким шрифтом и дату изготовления и честно продает. Нечестный — это когда банк или риэлтор стремится скрыть реальную стоимость сделки и вместо этого делает кучу сложных юридических документов с кучей условий и оговорок. И описывает сделку так, что может создаться ложное впечатление о ней. Вроде как все описано, но потом цена оказывается намного выше ожидаемой. Это и есть капиталисты.

[Fracta1L]

Я использую слово капиталист только для обозначения «бизнес, который в погоне за прибылью готов переступить...

Для обозначения этого есть выражения «нечистые на руку бизнесмены», «грязный бизнес», и т.д. А то, чем занимаетесь вы — подмена понятий. С такими отмазками идите на пикабу, там любят слезливые крики о клятом капитализме.

[vikarti]

Они это кто? Разработчики BK? Ну да — для видео стоило бы галочку.
Или разработчики вообще?
В конкретно нашем случае — если галочку вводить то это +1 экран(потому что нет ничего похожего) (работа дизайнера + согласование с заказчиком) + править процедуру старта(Crashlytics не зря в самом начале, до всего остального инициализируют). Кто это будет оплачивать? Заказчик, после того как ему покажут эту статью и скажут что из-за наличия галочки — усложнится исправление ошибок? (особенно если ее сделать opt-in а не opt-out).

[Sabubu]

Я работаю в индустрии разработки ПО и знаю стоимость такого экрана. Она копеечная в сравнении со стоимостью всего приложения, более того, он делается при желании на стандартных компонентах. Одна интеграция аналитики может больше стоить.

[xBrowser]

Если вы, допустим, разработчик и думаете о себе в первую очередь это можно понять. Ну да, вот баг сам на видео нашелся, я его быстро пофиксил. Но то, что разработчики выкачивают из пользователей гигабайты данных фактически обманывая, т.к. качая приложения для покупки еды (или любое другое, которое так или иначе тащит все с телефона/пк), я явно не буду ждать подвох с записью экрана/микрофона/камеры. И то, что использовать эти данные можно будет как в хороших так и в плохих целях, вам же тоже известно, правда?

Да и негативные отзывы о приложении будут в любом случае, что с телеметрией, что без.

[buen0s]

Господа и дамы, поддерживающие подобную аналитику. Позвольте задать вам вопрос. Что подобная слежка за мной принесет мне, пользователю? Насколько это оправдано? Что я получу, если разрешу Бургер Кингу «следить» за мной?

Пример номер один — Google Maps. Они собирают данные о том, где я нахожусь, и с какой скоростью перемещаюсь. Благодаря этому они в реальном времени показывают мне, Васе Пупкину, карту загрузки дорог, и это помогает мне экономить время. Удобно ли это для меня? Безусловно. Разрешу ли я Google Maps такую слежку за собой? Пожалуй, да.

Пример номер два — Бургер Кинг. Они сохраняют логи моей работы с их приложением и пишут видео экрана. Конечно же, с благородными целями — сделать свое приложение лучше. Что это говорит мне, пользователю? Что мне предлагается участвовать в отладке их не совсем доделанного аппликейшена, частично раскрывая им свои персональные данные. Что я от этого получу? Возможность заказать бургер, которая у меня есть и так. Соглашусь ли я на это? Пожалуй, нет. Как минимум, это для меня скучно и не интересно.

Логи того, что я делаю в приложениях Гугла, Яндекса или Бургер Кинга — это товар, создаваемый мной. Я готов продать данные о том, в каких кафе я был, и что я там заказывал, но не готов сообщать это бесплатно. Пользователь хочет получить адекватный сервис — или процент от денег, которые приложения заработают, собирая его данные. Зарабатываете, показывая мне рекламу? Поделитесь со мной, тогда я даже уберу Ad Blocker. Хотите обязать меня быть тестером вашего приложения, при этом еще и собирая мои данные? Нет уж, извольте. Баланс того, что получает Бургер Кинг, и что при этом предлагается мне, слишком смещен в их сторону.

[WildLynxDev]

Вопрос: Как определить что приложение под андроид использует appsee или что то аналогичное, не имея рута и не гоняя приложение на эмуляторе на компе?

[vikarti]

Конкретно appsee — а смотреть наличие трафика на их сервер.
Вообще же есть например Addons detector. Ставим, жмем 'сканировать'.
Если не хотите отсылать данные (за бесплатно включенный live scan) — жмете нет в ответ на запрос.
Ищем приложение нужное и смотрим раздел 'аналитика', в том же Burger King:Appsee, AppMetrica (если не знаем что это такое — кликаем и там будет описание и ссылка на вебсайт с описанием SDK, в данном случае это Яндекс.AppMetrica),Answers (по сути часть принадлежащего гуглу Fabric),Firebase Analytics (а вот это уже от гугла), затем смотрим раздел 'Отчет об ошибке' — и видим что у них Crashlytics (часть Fabric) и зачем и Hockeyapp ТОЖЕ.

Addons detector конечно показывает что есть а не что используется но вам сильно важно?

[WildLynxDev]

Спасибо!

[dartraiden]

XprivacyLUA.

[dartraiden]

он вообще не ловит новые соединения

Он этого и не обещает, потому что он не является файрволлом. Нет нужды делать комбайн, если эта функция уже отлично реализована в каком-нибудь AFWall.

Ещё можно посмотреть на Protect My Privacy, там заявлена не только блокировка доступа к сети, но и блокировка скриптов рекламных сетей.

[questor]

По-моему, слишком раздутая новость для такого рейтинга.

[iSasha]

Комментарии разработчика приложения: habr.com/company/e-Legion/blog/417043

[sbh]

3 одинаковых статьи в топе! Не многовато ли?!
Давайте яндекс-метрику обсудим еще.

[ninJo]

Я дизайнер пользовательских интерфейсов, запись экрана — распространенная практика для улучшения UX приложений, плюс можно поймать много багов таким образом. Я сам время от времени просматриваю подобные записи. Таким образом никто не украдет данные кредиток и личную информацию, поля ввода заблюрены. И происходит не конретная запись экрана в чистом виде, а сопоставление координат нажатий и поведения сайта/апликации, потом одно накладывается на другое и получается видео, нередко возникают некоторые артефакты. Я использую эти сервисы: www.hotjar.com, www.inspectlet.com

Ничего страшного не случится если кто-то увидит как Вы заказываете гамбургер, тем более не будет известно что это конкретно Вы сделали заказ. Из данных только девайс, разрешение экрана, страна и айпи адрес. Плюс в условиях приватности скорее всего есть такой пунктик, если нету то наверное можно подать иск.

Автор статьи раздул панику, чем-то напомнило russian reality.

[ninJo]

* Поведение автора и реакция толпы чем-то напомнило russian reality

[fennikami]

поля ввода заблюрены

Где же они заблюрены?

[Gorniv]

на текущий момент вроде на 90% понятно что данные кредиток(важные) не утекают, НО народ сильно негодует что: «Боже мой, они пишут экран, они видят как я заказываю бургеры» — серьезно, вас ввергает в шок, что кто-то подсматривает, как Вы заказываете бургеры??? Это не браузер, не мессенджер, это приложение для покупки еды, какая проблема с тем что этот процесс кто-то увидит?

[plMex]

Сегодня они записывают как вы бургеры заказываете. Завтра они будут записывать как вы в WhatsApp общаетесь, чтобы расположение смайликов «оптимизировать». Но кого это должно смущать, мы же не террористы, верно?

[Gorniv]

Вы утрируете и передергиваете.
А сообщение про террористов это скорее отсылка к творчеству наших законодателей.

[plMex]

Знаете, в школе мы друг другу рассказывали много смешных анекдотов про армию. А потом я, внезапно, обнаружил что большая часть из этого — это вовсе не анекдоты.

Так вот, оглядываясь сейчас вокруг, у меня складывается ощущение что любое «утрируете и передергиваете» через пару лет может оказаться вполне себе суровой действительностью.

[Gorniv]

Всегда считал что в анекдотах про армию больше правды:D
Меня удивляет степень эмоциональности про запись экрана, а не высказывания о контроле данного процесса.
Я за более прозрачный подход — то есть чтобы нас спрашивали о возможности использовать данные о работе приложения, например, как это происходит при установке IDE.
Честно говоря я удивлен, что apple вообще позволяет apsee, а apsee позволяет НЕ скрывать поля ввода, но от habr я ожидал более профессиоанльной реакции, а большая часть комментариев похожи на комментарии с пикабу.

[dartraiden]

Завтра они будут записывать как вы в WhatsApp общаетесь, чтобы расположение смайликов «оптимизировать».

Если мне не изменяет память, без рута приложение не может записывать экран другого приложения. А если у вас рутованный аппарат и вы явно выдали приложению рут-права… ну, тут сам себе злобный Буратино, как говорится.

[plMex]

Я имел в виду, что если завтра WhatsApp себе этот AppSee подключит для сбора статистики, чтобы «UI/UX улучшать», то эти люди снова скажут: «ну ок, записывает видео с экрана, и что?»?

[vedenin1980]

какая проблема с тем что этот процесс кто-то увидит?

Ест трафик (не каждый вайфай бесплатный, есть очень небесплатный), ест батарейку, передает координаты нажатия из которых в теории возможно получить набранный текст, включение и выключения сокрытия полей зависит только от доброй воли программистов на сервере (сейчас не пишет, а завтра захотел админ — стали писать).

Со всем этим еще можно смириться (в конце концов, они могли и просто собирать данные карт без стороних сервисов), если бы они хотя бы предупреждали и давали возможность выключить все эту фигню в настройках.

[Gorniv]

я удивлен отсылками к пунктам про личную жизнь и неприкосновенность, отсылкам к конституции и ворох эмоциональности про вторжение к ним в жизнь.
Если бы писали про трафик и нагрузку, а так же обсуждали техническую и поведенческую модель управления доступом к аналитики(и записи) — было бы понятно и правильно.

[plMex]

я удивлен отсылками к пунктам про личную жизнь и неприкосновенность, отсылкам к конституции и ворох эмоциональности про вторжение к ним в жизнь.

Ну, представьте себе очень полную девочку, которая очень недовольна своим телом, но не может отказаться от вредной привычки жрать бургеры и заедать их картошкой фри. И тут она узнаёт что мало ей этих проблем, так ещё какие-то левые люди наблюдают как она, мучаясь от осознания своего падения, делает заказ в бургеркинге! А может они ещё и ржут над ней при этом! Как она нерешительно водит пухленьким пальчиком по экрану, пытаясь пересилить своё желание и как, сдавшись, тыкает в кнопку «заказать». Это ли не адский стресс? Это ли не вторжение в частную жизнь?!

P.S: Да, обезличено, да без привязки к пользователям и всё такое. Но вы пользователям это объясните, особенно далёким от IT в принципе.

[vedenin1980]

вы пользователям это объясните, особенно далёким от IT в принципе

Боюсь пользователи, далекие от ИТ, услышав словосочетание «пишет экран», уверены, что их просмотр гейпорно в соседнем приложении вместе с личными данными давно уже в руках админов БК.

[plMex]

Именно поэтому, когда вы тайком от пользователя собираете «аналитику» путём записи экрана и подобных методов, необходимо быть готовым к такой реакции пользователей на любое подобное «разобралачение». И оценка 2.8 у приложения в GPlay — заслуженный итог.

[iVNEi]

Ставите фаервол и нет проблем

[Gorniv]

А разве размещение ссылки(на блог автора) разрешено не в хабе «Я пиарюсь» и тлоько при наличии кармы больше 30?
P.S.
пожертвования автору — в биткоинах :D

[fennikami]

Не для пиара.
Мне неудобно писать обновления по поводу ситуации редактированием поста на Хабре.

[Gorniv]

это скорее общий вопрос, плюс, если модератор согласен — то лучше было бы ссылку через него разместить.

[FreeManOfPeace]

А я всегда считал что специфические приложения для каждого сайта/сервиса и т.п. зло. Мало того что оно занимает память (хотя большинство, а то и все его функции можно было бы покрыть с помощью браузера), так ещё и делает на устройстве чёрти что. Стараюсь ничего такого не ставить, а если возникла необходимость, ограничивать в правах и после пользования сразу удалять.