А как вы просниффали траффик. Он не шифруется?
Судя по интерфейсу это Fiddler. Скорее всего запущен эмулятор Андройда с ПК.
Подмена сертификата во время перехвата трафика. Cert pinning нет.

Парень, а шаг с установкой Fiddler CA в систему ты пропустил? К чему твои повторяющиеся "нет certificate pinning"? Ты понимаешь вообще, для чего нужен CP или просто услышал где-то, что это круто (полагаю, CP мешает тебе "ковырять приложения" и вызывает чувства сходные с благоговением — это ведь магия, раз фиддлером не поснифать трафик!)? В браузерах его в принципе нет, но что-то никто на эту тему не парится, но при этом люди спокойно вводят данные своих кредиток.

это на пикабу в комментариях сказали просто <_<
Что значит «повторяющиеся нет certificate pinning»? Где еще они повторяются?
В браузерах его в принципе нет

А это не оно? en.wikipedia.org/wiki/HTTP_Public_Key_Pinning
Это труп, который не работает.

Да ладно, молодой кулхацкер нашел первую более менее нормальную "фичу" в своей жизни, расфорсил её, даже сделал свой мини блог под это дело) так бывает с кулхацкерами) простим ему это

Это таки Fiddler?
Подобных мерзостей от этой компании и ожидал, поэтому не доверил им даже номер телефона.
Кто-нибудь знает, возможно ли в условиях российской действительности устроить для компании какие-нибудь проблемы и вообще ответственность за подобное поведение?
Запросто. Запостить на реддит.
Пишите в r/privacy
Они поднимут
Скорее авто-модератор. С Реддитом намучался в свое время из-за этого.
Каких мерзостей? Человек залез в код, удалил сертификат, запустил приложение на эмуляторе. О чем речь? Вы осознаёте, что любой код можно переписать так, чтобы в него можно было вмешиваться?
Как удаление сертификата оправдывает слежку за экраном пользователя без его ведома?
Вы определитесь куда камнями кидать уже. Или в отсутствие шифрования, или в уязвимость, или в запись экрана.
Прошу прощения, не уловил тред про открытое соединение.
В запись экрана, офк
А кто тут кидается камнями в отсутствие шифрования? В упор не вижу…
Не валяйте дурака :)
Что плохого в бросании камней за всё?
Я ничего не удалял, если что.
Вот-вот, меня удивляет, у нас ведь по закону запрещено скрытое наблюдение, и даже покупка устройств для этого, а тут компания устраивает скрытую запись экрана пользователя. Было бы конечно хорошо, если какой-нибудь РКН взбесился и хоть раз сделал бы что-то полезное. Пусть разработчики испытают на себе то же, что и люди, заказывающие ручки с видеокамерой.
Пользователь сам дает согласие на такую запись. ToS никто не отменял — еще скажите, что Windows не предупреждает, что следит)
p.s. " люди, заказывающие ручки с видеокамерой" — это зона ответственности не РКН, а ФСБ)
А так любой желающий может накатать жалобу РКН на Бургер Кинг, но ответ будет очевидным — с точки зрения бумажного законодательства все четко, вы сами соглашаетесь с условиями использования приложения, а технически РКН не проверит так ли честны разрабы или нет.
Есть же простое и этичное решение проблемы. Показать при первом запуске приложения попап с иконкой видеокамеры и надписью: «В целях улучшение приложения мы бы хотели вести видеозапись вашей активности в нем. Разрешить? Да/нет».

Почему они так не делают? Потому, что они не хотят, чтобы 1) у пользователя был выбор 2) он вообще об этом знал.

Это неправильно, должно быть наоборот.

То, что вы предлагаете — «читать ToS» — это предложение жить в мире, где все пытаются друг друга обмануть и перехитрить. Где приходя в ресторан или гостиницу, вам придется прочитать целиком все юридические документы (а вдруг там написано, что вы обязаны потом пожизненно им платить за один раз оказанную услугу), где вам придется в автосалон или на собеседование на работу ходить с юристом (там вообще куча вариантов обмана). Где честный бизнес не может соревноваться с наперсточниками.

Мне это не нужно. Мне нужен мир, в котором я могу пользоваться любыми приложениями и услугами, и знать, что они не будут следить за мной, а если попытаются, то их настигнет карающая рука закона. Где торговцев персональными данными преследуют сильнее чем торговцев наркотиками.

Напомнить про Яндекс, Гугл, Майкрософт?

> вы сами соглашаетесь с условиями использования приложения
т.е. по-вашему туда можно написать все что угодно и законодательно это будет ОК, потому что нажали соглашение?
Как бы — AppSee в том числе для этого и предназначена. Как и например — TestFairy.
Оно полезно при разработке.
Другое дело что вменяемые разработчики на экранах вроде вводе данных кредитки — выключают запись. Да и вообще используют такие вещи на альфа/бета-версиях.
У AppSee же — Which sessions will be video recorded?
Appsee automatically selects the sessions to record in order to provide a sufficient sample of your users. You can also manually select which sessions will be video recorded.

Ну с другой стороны — считают что эти данные им нужны для отладки. А вы с этим — согласились (хотя вот ОЧЕНЬ интересно — если утекут номера кредиток через AppSee — Бургеркинг готов отвечать за это?).

p.s.
Сейчас пишу приложение, номеров кредиток там и близко нет (как и медицинских например данных) но есть данные которыми возможно пользователи не захотят делится даже с другими пользователями (сколько и за что они заработали).
В лог пишется в том числе весь сетевой (расшифрованный) сетевой обмен, при сбоях — последние несколько десятков килобайт логов — улетают в Crashlytics.
Не раз выручало при выяснении что не так.
Но если таким способом что-то секретное утечет через нашу компанию — сначала этот клиент по шее даст компании, а и мне (или другим разработчикам с доступом) прилетит. NDA подписаны и там санкции прописаны.

Мне кажется, что сервисы типа AppSee и TestFairy в целом предназначены в первую очередь для тестовых сессий (например, тестировщик случайно крашнул приложение, а потом по видео смог восстановить свои шаги), а не для массового использования в проде.
А выложи-ка само видео? Кстати, ты говорил, что оно еще и прикосновения пишет параллельно?
У него нет такого видео. Автор просто соврал. На Пикабу эту историю успешно схавали. Если тут тоже схавают без фактчека — будет смешно.

appsee блюрит поля ввода. Так что данные карты не видны.

image
AppSee замазывает поля только если это указать отдельно.
Да именно так. Вы проверили что в приложении BK они не замазываются? Или это из серии «а если бы вот они не замазывали — они бы получили данные»
А что даст эта проверка, если настройку в любой момент может изменить как эксплуататор приложения, так и злоумышленник, неправомерно получивший доступ к его системе, либо подменивший JSON, прилетающий программе с сервера?
И… Это всё, что Вы можете на это сказать? Что сервис записи видео замазывает поля ввода?

А то, что программа заказа бургеров без разрешения и огласки записывает экран — это, типа, нормальное поведение?!

Данный функционал должен быть отражен в списке разрешений. Чтобы я его мог отключить.
А Хабр использует Яндекс метрику с флагом webvisor:true и тоже нигде об этом не пишет.
Скорее закрывайте браузер!

*сарказм*
Скорее принимайте законы о защите приватности :)
Уже приняли закон о отмене приватности, сарян.
Вот поэтому я и не использую приложения, а только сайты. На сайте я могу порубить всю эту оналитику.
В приложении тоже можно порубить «оналитику», если, например, использовать свой DNS.
Да, а потом Хабр просит не юзать Адблок. Да и вообще если Хабр это делает, это не значит, что Бургер тоже это делать может.
А аналитику рубит не Адблок, а Ghostery и подобные приложения про них Хабр ничего не просит.

Ну ublock вроде как блочит аналитику. Хотя нужно это узнать точно.

Блочит.
EasyPrivacy
[Adblock Plus 1.1]
! Version: 201807170422
! Title: EasyPrivacy
! Last modified: 17 Jul 2018 04:22 UTC
! Expires: 4 days (update frequency)
! Homepage: easylist.to
! Licence: easylist.to/pages/licence.html
!
! Please report any unblocked tracking or problems
! in the forums (https://forums.lanik.us/)
! or via e-mail (easylist.subscription@gmail.com).
!
! -----------------General tracking systems-----------------!
! *** easylist:easyprivacy/easyprivacy_general.txt ***
&action=js_stats&
&callback=hitStats_
&ctxId=*&pubId=*&clientDT=
&ctxId=*&pubId=*&objId=
&event=view&
&http_referer=$script
&pageReferrer=
&ref=*&tag=
&refer=http$script
&refererPageDetail=
&trackingserver=
-AdTracking.
-analitycs//fab.
-analitycs//ga.
-analitycs//metrica.

/yandex-metrica-watch/*
/yandex-metrika.js
/yastat.js

||yandex-metrica.ru^$third-party

||an.yandex.ru^

||mc.yandex.ru^
… итд
если вы почитаете ToS BK, то увидите что вы даете разрешение на доступ к этим данным. И с добрым утром, такая телеметрия есть в любом продвинутом приложении. Хорошо это или плохо — это отдельный вопрос.
Но автор несет чушь.
— Утверждает, что AppSee может слить эти данные — но в PP сервиса указано, что доступ к этим данным имет толкьо их сервис провайдеры типо хостеров и т д.
— Утверждает что на запись попадают данные карт. Но не предоставил пруфов, что в видео действительно уходят данные карт не заблюренные.
> Утверждает, что AppSee может слить эти данные — но в PP сервиса указано, что доступ к этим данным имет толкьо их сервис провайдеры типо хостеров и т д.

Ну вот фитнес-трекер слил расположение военных баз например, хотя у него тоже была privacy policy и прочие имитирующие саморегулирование документы. Тут нужен государственный кулак, без него капиталистов в погоне за прибылью не угомонить.

> сли вы почитаете ToS BK, то увидите что вы даете разрешение на доступ к этим данным.

Это неправильно. Рекламировать приложение как способ удобного заказа бургеров, а по факту следить за пользователями. Почему они в рекламе это не пишут, а прячут в ToS?

Вот представьте, вы будете покупать машину, а в автосалоне вам в договор припишут мелким шрифтом, что это не продажа машины, а сдача ее в аренду на месяц за полную стоимость. Или что предоплата в размере 30%, которую вы внесли, не входит в стоимость машины, а лишь оплачивает ее демонстрацию вам. Или вам предложат купить лекартсво, излечивающее болезнь, а в договоре мелким шрифтом напишут, что это просто витамины и что согласно научным исследованиям они действительно улучшают здоровье.

Вы наверно скажете, что это нормально, что надо читать договор, но вот правоохранительные органы могут такое квалифицировать как мошенничество. Думаю, и с тайной слежкой должно быть то же самое. У нас ведь запрещен оборот устройств (а хотят добавить сюда и программы) для скрытой съемки, а с точки зрения пользователя, это и есть скрытая съемка экрана.

Капиталисты сами себя не урегулируют — они напишут в ToS что вы обязаны продать им душу — потому нужен государственный кулак, который будет над ними висеть. Мы видим, к сожалению, что другие варианты не работают.
Абстрагируясь от сути топика.
Если уходить в правовое поле — есть нормативные акты, регулирующие правила написания контрактов и соглашений. При их нарушении крупную интернациональную корпорацию заставят принять противоестественную позу и выплатить ВЕСЬМА ощутимый штраф.
Или Вы думаете что у компании уровня бургеркники юристы уровня «папа протащил на юрфак»?
Добро пожаловать в Интернет, тут могут и в морду дать куки стырить.
Если тут тоже схавают без фактчека — будет смешно.

И судя по рейтингу статьи вполне себе схавали. Ну раз в статье джейсоны, и скрины админских тулзов — значит серьезное расследование, зачем разбираться. Очень обидно за хабр.
Обидно ещё и за аудиторию: у большинства нет сомнений, что корпорации их обворовывают, прослушивают, бигдатят и зомбируют. А хрен с ним, что в ЕС, РФ и США действует тонна законов, регулирующих и ограничивающих сбор данных, а большие корпорации – первая цель для всех проверяющих органов. Хрен с ним, что AppSee зарегистрирована как компания и имеет кучу партнёров уровня Samsung и eBay. Хрен с ним, что приложение прошло AppStore Review и у него есть разработчик с именами и фамилиями. Не, это всё не берётся в расчёт. Раз я могу быстро забацать в xCode приложение и отправлять себе на домашний сервер свои же данные, то совершенно очевидно, что крупные корпорации делают так же и не имеют никаких последствий от многочисленных комиссий и комитетов, которые с этого живут.

Увы, критическое мышление и проверка источников – это потенциальные возможности, а не имманентные человеку данности. Желтизна такая желтизна.
А компания Burger King как рекламирует свое приложение? Как приложение для желающих бесплатно поработать тестером и разрешить запись их экрана или как приложение для заказа бургеров? По моему, это разные вещи.

Это и есть обман. Есть мошенники, которые продают пенсионерам за огромные деньги витамины под видом лекарств для их болезни, а есть компании, которые обещают одно, а тайком делают другое.

Мне, наоборот, непонятна логика тех, кто это защищает. Вам нравится, что компании следят за вами и ущемляют ваши права — это, конечно, ваше дело, но почему от этого должны страдать другие?

> Хрен с ним, что приложение прошло AppStore Review и у него есть разработчик с именами и фамилиями.

И? это говорит лишь о том, что AppStore Review не очень беспокоит приватность пользователей, если ее нарушение прописано где-то в глубине ToS.
Господа… надеюсь тут все разработчики и мы все прекрасно понимаем, что нельзя отловить все баги на этапе тестирования. Конечные пользователи не умеют писать багрепорты (единицы на самом деле). Они будут в комментах паниковать и орать.
Что в таком случае вы предлагаете делать?
Все критические баги найти более чем реально, либо вы не тестированием, а неизвестно чем занимаетесь. Обычно, баги, которые не удалось отловить на этапе тестирования, повторить тяжело в принципе, даже имея видео. AppSee больше нацелено на замену рядовых тестировщиков.

Они будут в комментах паниковать и орать.
Что в таком случае вы предлагаете делать?
Как разработчик вы должны знать, что в комментах всегда кто-то будет орать и паниковать.
Не представляю, как видео с экрана может помочь выловить баги. Это должны быть баги размером с паровоз. Копить логи на дивайсе, а при крэше приложения сливать их на сервер — решение гораздо более полезное во всех отношениях. Можно даже не сразу сливать, а только по команде с сервера.
Я лично видео + логи сопоставляю. Пару раз помогло отловить серьёзные баги, которые на этапе внутреннего тестирования не заметили. И это не вина тестировщиков. Баги были нереально редки и встречались только на определённом железе еще. Бывает всякое.

БГ нужно было оповестить о том, что есть запись видео и её можно отключить в настройках.
Вы явно не разрабаотывали мобильного приложения с большим количеством юзер-путей. С логами всегда одна и та же проблема — либо они избыточно подробные, и их невозможно адекватно анализировать, либо слишком скупы. Да и на этапе разработки не всегда очевидно какие данные в логах понадобятся для дальнейшего анализа. А вот записанный сценарий использования — отличное подспорье для воспроизведения бага.
Как вариант — запись видео по запросу пользователя. Увидел какую-то проблему (не crash — он должен ловиться dump'ами) — залез в менюшку — отослать bug report, по запросу начинается запись экрана и в конце отправляется разработчику.
Когда баг произошел видео записывать уже поздновато. Запись видео частенько помогает отловить странные и трудновоспроизводимые баги.
При запуске приложения показать попап и попросить разрешение на видеозапись экрана для улучшения приложения. Предложить варианты выбора «да» и «нет».

Будет 100% этичное решение, и в тестировании будут участвовать только те, кто хочет.
Как приложение для желающих бесплатно поработать тестером и разрешить запись их экрана или как приложение для заказа бургеров?

А ещё у пользователей есть глаза, которыми можно увидеть разрешение на это в пользовательском соглашении. Если кто-то ленив и не хочет читать — это исключительно его проблемы, у нас взрослый мир, а не ясли, где всё надо разъяснять. Не удивлюсь, что при первом запуске был крыжик «разрешить отправлять информацию для улучшения приложения», который никто не снимал.
Не было никакого «крыжика».
А вы, когда в ресторан приходите или в гостиницу заселяетесь, читаете все юридические документы? Не боитесь, что там будет «оформляя заказ, Клиент дает неотзываемое согласие на вступление и ежемесячную оплату взносов Клуба Успешных Людей. В случае нежелания вступать в Клуб, Клиент обязан покинуть заведение до оформления заказа»?

А когда врач вам выписывает лекарство, вы читаете все документы? Не боитесь, что вам выпишут витамин C по завышенной цене и постелят соломку в пользовательском соглашении?

Ну и машину вы конечно пойдете покупать только в компании юриста, да?

Вы предлагаете идиотизм — обязать всех читать длинные юридические документы (а они будут длинными, я вам гарантирую) и разрешить обманывать не читающих их людей. А надо, чтобы никого нельзя было обманывать.
Вы же предлагаете тоталитаризм, где за вас всё будет делать умный большой начальник в погонах. Ну или охлократию, где масса граждан с образованием ниже среднего и обратно пропорциональными по громкости воплям будет всюду носиться, выпиливая всех неугодных, независимо от их полезности.
Не беспокойтесь, совсем бреда в капиталистических договорах не напишут, иначе найдётся какой-нибудь совсем обиженный капиталистический пользователь, который засудит эту большую компанию на большую сумму денег, и бред из договора придётся удалять. Ну и кроме того, эти большие компании и так перманентно страдают от капиталистических государств, которые всё норовят найти у них какие-нибудь огрехи, и также стрясти с них денег побольше.
Я предлагаю адекватное госрегулирование, которое работает и проверено временем. К чему приводит отсутствие регулирования, мы уже увидели — бесконтрольные сбор и накопление перс. данных, утечки, скандалы.

Это же не моя вина, что компании не могут без закона сами выработать адекватные правила обращения с перс. данными и правила раскрытия информации.

> Не беспокойтесь, совсем бреда в капиталистических договорах не напишут, иначе найдётся какой-нибудь совсем обиженный капиталистический пользователь, который засудит эту большую компанию на большую сумму денег

А почему? Потому что приняты специальные законы на эти случаи. Вы удивитесь, сколько различных законов напринимали, например, в позиционируемой как «самая свободная» стране США.

Ну так давайте сделаем то же самое и для любителей прятать разрешение на слежку в ToS. Чтобы попытка обхитрить пользователя программы расценивалась судом так же, как попытка обмануть пациента или покупателя автомобиля всякими скрытыми комиссиями.
Я предлагаю адекватное госрегулирование, которое работает и проверено временем.

Где предлагаете? Какое такое регулирование проверено временем? Мы много чего видели на своём веку, и много чего ещё увидим. Но адекватного госрегулирования ещё не видели.

Это же не моя вина, что компании не могут без закона сами выработать адекватные правила обращения с перс. данными и правила раскрытия информации.

Я наблюдаю обратное — большинство компаний заботятся о персональных данных намного больше государств, и они первыми же эту заботу и начали выказывать и активно продвигать.

А почему? Потому что приняты специальные законы на эти случаи. Вы удивитесь, сколько различных законов напринимали, например, в позиционируемой как «самая свободная» стране США.

Вот где-где, а в США законы не принимаются с бухты-барахты по хотению левой пятки возопившего пикабушера. Там для этого нужны твёрдые основания и безапелляционно выигранное дело в суде, чтобы прецендент был.

Ну так давайте сделаем то же самое и для любителей прятать разрешение на слежку в ToS. Чтобы попытка обхитрить пользователя программы расценивалась судом так же, как попытка обмануть пациента или покупателя автомобиля всякими скрытыми комиссиями.

А вот это уже давно зарегулировано российским законом. Если считаете, что ToS той или иной компании нарушают ваши права, что за вами организуют слежку против вашей воли, что публичная оферта не соответствует действиям — суд вам в помощь, вот только сопли на Хабре разливать не стоит.

И кстати, вы не думали о том, что ваши деяния могут также быть рассмотрены законом как преступление? Ну например, можно задействовать ст. 152 Гражданского кодекса, для начала.
Я предлагаю адекватное госрегулирование, которое работает и проверено временем. К чему приводит отсутствие регулирования, мы уже увидели — бесконтрольные сбор и накопление перс. данных, утечки, скандалы.

И ещё раз по этому пункту. В Конституции сказано, что «1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.» И это применимо ко всем сторонам, к государству — в том числе. И вот когда оно начинает что-то там регулировать в Интернете, от которого, по-хорошему, должно быть отделено также, как и от церкви, то нормальным людям становится дурно. Молчу уже о всяких новеньких законах, которые прямо противоречат и букве, и духу данного пункта.
Конституция дает только общее описание государственного устройства, а конкретизируется оно законами. Ну например, конституция не указывает, каким образом должно быть получено «согласие» на распространение данных — а капиталисты естественно заинтересованы в том, чтобы прописать это согласие в глубине пользовательского соглашения на 10000 слов.

Потому закон, который запретит такие трюки, несомненно, будет полезен.

Разумеется, хороший закон написать трудно, так же, как и написать хороший код. Для этого должно совпасть много факторов — и адекватное правительство, прислушивающееся к мнению граждан, и общественное обсуждение, и грамотные эксперты, и СМИ, освещающие дискуссии и выявляющие попытки пролоббировать выгодные для компаний пункты.

Нынешнее правительство, которое не выбрано на конкурентных выборах, конечно, адекватным я не считаю. Но это не отменяет того факта, что кроме закона ваши персональные данные никто не защищтит. Вы можете хоть обвешаться адблоками и блокировщиками, но это не помешает сотовому оператору, интернет-магазину, банку раздавать ваши данные направо и налево.

Ну серьезно, расскажите, как в отсутствие закона вы запретите сотовому оператору продавать данные о ваших звонках и вашем местоположении? А банку — о ваших финансах и тратах.
Вы читаете все пользовательские соглашения? Сколько у вас примером уходит времени на установку, ну не знаю, Вайбера?
Как раз-таки аудитория может смотреть шире на ситуацию, по крайней не так однозначно как Вы в Вашем сообщении, в котором мир представлен через призму розовых очков. Аудитория, например, может помнить про:

у большинства нет сомнений, что корпорации их обворовывают, прослушивают, бигдатят и зомбируют.


— то, что именно на этом строит свою бизнес-модель, например, Facebook и Google — одни из крупнейших компаний в мире; здесь на Хабре неоднократно постились статьи и комментарии с конкретными примерами, как то или иное приложение шпионит за пользователем — последний раз вчера в статье про колонку Яндекс.Станция;

А хрен с ним, что в ЕС, РФ и США действует тонна законов, регулирующих и ограничивающих сбор данных, а большие корпорации – первая цель для всех проверяющих органов.


— историю с Cambridge Analytica. Нахождение её штаб-квартиры в Великобритании, а Facebook — в США, как-то не помогло.

что AppSee зарегистрирована как компания и имеет кучу партнёров уровня Samsung и eBay.


— что наличие партнеров в определенный момент времени мало о чем говорит; стоит компании/лицу «замарать» свое имя, как партнеры сразу же разрывают любые деловые связи; наглядно в историях со спортсменами — не успело прозвучать обвинение в допинге/избиении жены/краже кроссовок из магазина, как на следующий же день от рекламодателей (партнеров) и след простыл;

что приложение прошло AppStore Review


— его же прошли и откровенно стремные приложения, например для джейлбрейка, замаксированное, если я правильно помню, под фонарик; если говорить про Android (под который также есть приложение «Бургер Кинг»), то с периодичностью раз в месяц публикуются статьи с оценкой количества откровенно вредоносных приложений — счет идет на тысячи.

Так что не стоит обижаться на аудиторию Хабра — скепсис должен быть понятен.
Причем вредоносное использование ранее собранных данных может произойти и без злого умысла, а просто по недосмотру или разгильдяйству — забыл админ сменить настройки по умолчанию, и вот твои данные уже в сети. Причем админ может быть ответственным за инфраструктуру военной базы — и всё равно он может забыть сменить стандартный пароль на рутере и обновить прошивку последнего.
Дорогой мой человек, это не розовые очки, а сущая реальность – большинство крупных компаний и даже государств (отдельные не в счёт) понятия не имеет, что им делать с таким объёмом данных о клиентах. После случая, когда в США спокойно въехали откровенные террористы просто потому, что данные на них были у одного ведомства, а границу проверяет другое, после ситуаций, когда в ЕС и США можно годами жить, платить всюду картой, брать в аренду машины и пользоваться мобильниками при полном отсутствии легальной визы, после того, как DHL Россия не может ничего поменять в заказе на моё имя, посланным из Чехии в Италию и посылает «звонить туда», после того, как Делимобиль постоянно звонит мне и предлагает новые тарифы, хотя сам же отказал в регистрации и запросил у меня бумажную справку из ГАИ о действительности прав (номера по базе и фотки им мало), после того, Apple Россия не может отменить ошибочный сертификат из США, после того, как я столкнулся с адовой бюрократией и семью начальниками, которые должны согласовать любой чих в больших компаниях, после всего этого я сильно сомневаюсь в том, что они умеют нормально обрабатывать бигдату. Какие-то отдельные запросы делают, но до нормального построения профиля клиента по косвенным данным ещё очень и очень далеко. Просто ещё руководство не понимает, что это такое.

А по Вашему списку моих тезисов – я согласен с Вами, каждый этап можно объяснить и найти многочисленные примеры косяков. Но эти примеры рано или поздно становятся известными и ломают какой-то один уровень. Чтобы у такой большой корпорации месяцами работала явно противоправная схема, которую кто-то приказал разработать и внедрить, чтобы им повезло на всех этапах проверок, чтобы ни один начальничек не побоялся бы стать крайним, чтобы сознательно идти на столь опасную игру в правом поле последних законов, посвящать десятки человек в схему (а они вовсе не ЦРУ) – это больше похоже на конспирологию и сильное преувеличение разумности больших компаний.

А так-то – да, идиотов всюду хватает и пароли стандартные оставляют, и пропуска не проверяют, и социальную инженерию никто не отменял. Но я бы не паниковал раньше срока.
последних законов

Вот кстати последним европейским законам почти никто не соответствует. И ничего.
Пакету Яровой тоже пока никто не соответствует. Дело времени.
А хрен с ним, что в ЕС, РФ и США действует тонна законов, регулирующих и ограничивающих сбор данных, а большие корпорации – первая цель для всех проверяющих органов. Хрен с ним, что AppSee зарегистрирована как компания и имеет кучу партнёров уровня Samsung и eBay.
И вот к чему приводят тонна законов и именитые бренды habr.com/post/416885

А почему бы тебе не написать опровержение? Не будет обидно за хабр тогда. Хабр это мы и есть.

НЛО прилетело и оставило эту надпись здесь.
Если Вы человек в теме, и у Вас есть сейчас возможность повторить описанное в статье. То не могли бы Вы пожалуйста и файл с обработкой нажатий на экран проанализировать. А именно, в момент ввода кредитки пишутся ли события нажатия на клавиши клавиатуры?
НЛО прилетело и оставило эту надпись здесь.
fennikami вот это стоит в пост добавить, а то пока пустовато.
НЛО прилетело и оставило эту надпись здесь.
Никто их в заблуждение не ввел.
Еще раз: телеметрия с записью экрана при вводе данных карты — не круто.
Вечером залью видео которое внезапно опровергает что у БК данные карты замазаны.
НЛО прилетело и оставило эту надпись здесь.
Ну и метод ты нашел чтобы себя распиарить.
Пруфы обязательно надо прикладывать к таким обвинениям сразу.
Вечером можешь уже не заливать.
Где видео?
а вечер уже наступил?
Уже добавил.
Добавь следующее сообщение от 3amynoK
Почему-то я не вижу видео, только скриншот видеоплеера. Я что-то неправильно делаю? Можете дать ссылку на видео?
На видео виден номер телефона, который является ПД. По номеру телефона можно, купив данные у дата-брокеров, например найти человека в других базах: базах покупок, базах пользователей скидок, базах бравших кредиты итд.

Причем, что интересно, они требуют номер телефона для использования приложения, даже если ты хочешь просто посмотреть каталог товаров, и например придти и заказать их лично. Вот так отношение к людям.
НЛО прилетело и оставило эту надпись здесь.
Да, видео было бы интересно глянуть, но что-то автор не спешит его выкладывать.

прикосновения пишет параллельно


Скажу честно, я в этом — ни уха ни рыла, но строчка UploadTouchEvents = True выглядит подозрительно.
Пишет много чего www.appsee.com/features
Но все вполне официально и по GDPR)
Что же вы этот GDPR суете везде?
GDPR — глупый закон, который сам по себе ну никак не помогает в privacy regain, и это не показатель.
Правда что ли? А гиганты типа Google — дураки. Это они сами себе напредумывали в своей «гейроппе»
Непонятно за что заминусили, ведь GDPR действительно ужасен. Он только увеличит стоимость разработки, издержки IT компаний, но никак не поможет с защитой приватности данных. Просто это всё будет делаться неформально самыми наглыми компаниями, а добропорядочные будут проигрывать конкуренцию. К appsee претензий не имею, но защищать GDPR… Серьезно?!
получается так что именно appsee пишет видео, а не бургер кинг.
То есть аналитику ведет это приложение, а бургер выступает лишь как распространитель.
В любом случае писать данные карты да и вообще любые данные — на видео это жесть.
Это реально нарушение моей приватности. Это уже за гранью аналитики
Нет. AppSee не сам пришел к вам на телефон, его установили разработчики Burger King. Это они следят за вами, а AppSee лишь производит инструмент для этого.
appsee же платформа, и на её сервера идут все данные. Разве нет?
Я конечно не пользовался, не знаю. Но в моем представлении это именно так и работает, исходя из опыта других продуктов. Того же вебвизора как выше упомянули
Модуль appsee пишет видео и отправляет на свой сервер откуда аналитики или разработчики бургер кинга забирают информацию, в том числе и записанное видео. Сами appsee вряд ли вообще просматривают их, там же миллионы видео файлов записываются, а им оно вообще не нужно.
некоторые еще харю пытаются писать без разрешения. Как то фонарики всякие, банковские приложения
НЛО прилетело и оставило эту надпись здесь.
Не спешу выкладывать потому что я, внезапно, человек и мне надо спать после бессонной ночи.
Привет, сейчас занят очень, но вечером залью из дампа как раз.

Опять? Привыкните уже — приложения и сайты имеют аналитику, вебвизор и иные средства анализа взаимодействия пользователя с продуктом.

Пусть и разработчики тогда привыкают, что пользователи всеми силами блочат эти «интересные» функции. Пост автора побудил меня наконец разобраться в вопросе и поставить на свой телефон блокировщик трафика и прочих следилок (я раньше неверно думал, что для этого требуется рут, оказалось не так), даже приобрёл это приложение, что делаю в исключительных случаях.
Что за приложение? Поставили первое попавшееся или провели какое исследование?
Adguard возможно.
Только я не уверен, что он подобное блокирует.
и теперь за вами следит блокировщик трафика :-)

Лёгкая паранойя, вполне нормальное явление. Количество пользователей, которые блокируют аналитику обычно не превышает 30%. Так что и у разработчиков есть достаточно данных для анализа и пользователи довольны.

Если лень ковырятся глубоко — можно блокирующие днсы юзать.
Есть этичные свободные приложения с того же F-Droid, которые просто делают свою работу, не запрашивают излишних разрешений, и даже работают оффлайн, там где это возможно, а не требуют доступ в сеть.
Если вебвизор будет стоять на странице оплаты, где вводятся данные карты, то это большая проблема.
Стоял. И записывал. Действительно, можно было через вебвизор видеть, какие логин/пароль вводит пользователь. Но какое-то время назад Яндекс это пофиксил.
Логин\пароль не так страшно, т.к. владелец имеет доступ к этим данным все равно. А вот данные карты — страшно, т.к. может быть сайт с каким-нибудь нормальным биллингом, который при этом будет собирать данные карт.

Шта? Нормальные девелоперы давно хешируют и солят пароли, так что даже они не знают их :/

Лет 100 назад так же говорили про права рабочих и работодателей, и с тех времен произошли изменения: введены минимальная заработная плата, приняты дополнительные законы об охране труда.

Думаю, что и в случае с приватностью, надо не привыкать, а изменять систему.

Если компании нужно тестировать свое приложение на пользователях, пусть нанимают тестеров за бесплатные бургеры, а не используют людей в качестве подопытных свинок.
Тут кто одеяло перетянет: если бы не потребность в узкоспециализированном высококвалифицированном труде, который позволил уже рабочим диктовать условия, то сейчас бы мы так и жили большинством в рабстве. Иногда возникает чувство, что благодаря информационным технологиям и глобализации ценность человеческой жизни снова падет…

Сами привыкайте, а мы будем резать.

Вам уже на пикабу нормально ответили — что это вполне нормальное явление, которое не передает данные полей ввода, контролирует, чтобы отчеты шли через wifi и много другое, а так же соответсвует даже европейскому GDPR. Может все таки стоит больше изучать техническую часть, а делать желтые заголовки и громкие заявления.
Кстати их прилождение одно из лучших в категории «Еда» — я их за последнее время десятки изучил.
appsee — нужен для улучшения приложения, неужели Вы этого не понимаете?
Не знаю, чем оно лучшее, оно глючное. Грузится долго, часть товаров вообще не даёт добавить в корзину (кнопка обавления неактивна).
с точки зрения функциональности и подхода формирования заказа. Про стабильность ничего не могу сказать…
Так глючит-то его как раз из-за апси. Представляете, как он нагружает смартфон? Плюс ещё и трафик дико жрет. На своем приложении использовали по мере необходимости. Но отвал пользователей был адовый. Сейчас ребята российские похожий сервис двигают. Обещают, что влияние на работу смартфона минимальное. Будем тестить.
Только та же телеметрия в вебе приводит к массовой переделке сайтов в вид с 3 огромными словами и одной картинкой на весь многодюймовый монитор и необходимостью постоянно скролить. Не видно то есть никакого улучшения, видно какой-то ужасный идиотизм.
я думаю это не с телеметрией связано, это скорее к трендам дизайна вопрос.
Три огромные слова и картинка появились не из-за телеметрии, а из-за роста мобильного трафика, где это действительно выглядит в тему. И когда это лендинг, на котором минимум информации, то все хорошо и красиво. Проблемой это становится тогда, когда сайт где много контента делают в таком виде. Но увы, на мобильных иначе читать сложно.
Так делают же отдельные версии сайтов под мобильные браузеры. Зачем заставлять людей на десктопах видеть 3 слова и картинку на мониторе 27 дюймов фулл-хд?
Тот же вопрос банкам с таким же дизайном. Банки часто предлагают под смартфоны свои приложения и скорее всего мало кто будет уродоваться на смартфоне через браузер.

Банки приложения, конечно, предлагают. Но к остальным сайтам это имеет мало отношения. Глупо писать приложение, если не осилил мобильную версию — люди не будут ставить тысячу приложений, а значит небольшой сайт просто потеряет аудиторию. Разумнее уж мобильную версию допилить.

Потому что доля мобильного трафика больше половины, а разработка и поддержка двух версий стоит денег.
Вам уже на пикабу нормально ответили — что это вполне нормальное явление, которое не передает данные полей ввода, контролирует, чтобы отчеты шли через wifi и много другое

Давайте по пунктам:
1. Данные полей не передаются только если отдельно указать что вот мол этот и этот TextField — Sensitive View. Там нет магии которая чудным образом узнает где же тут приватные поля и цензурит их.
2. Приложение BK не отдает информацию о подключении к WiFi / Cellular, а значит — не может контролировать это.
3. Про GDPR отвечу свои комментом выше:
Что же вы этот GDPR суете везде?
GDPR — глупый закон, который сам по себе ну никак не помогает в privacy regain, и это не показатель.

И напоследок:
Кстати их прилождение одно из лучших в категории «Еда»

Кстати, этот коммент совсем не рекламный!
давайте по пунктам:
1. можно увидеть видео с пруфом что парметр не стоит?
2. не берусь судить, надеюсь тут найдутся люди, кто сможет подтвердить или опровергнуть.
3. GDPR — это ппц какое количество правил и указаний по защите персональных данных пользоавтеля — так что это показатель.
4. про оценку приложения — это мое личное мнение, как человека, который много исследует приложения в категории «Еда» на предмет фишечек и функционала. К бургер кингу я не имею ни какого отношения( я fullstack разработчик в «Европлан»- это лизинг)
Пока ваша статья выглядит — как победа параноика над здравым смыслом и желание пиара.
GDPR — это ппц какое количество правил и указаний по защите персональных данных пользоавтеля — так что это показатель.


Ну и что толку, если соответствующее GDPR приложение пишет видео с экрана и отсылает левым людям?
GDPR — это ппц какое количество правил и указаний по защите персональных данных пользоавтеля — так что это показатель.

Я никогда не изучал этот момент, но подозреваю, что в России всегда были достаточно хорошие законы, защищающие окологосударственные БД. Как там сейчас, уже нельзя достать БД с паспортными данными граждан РФ?


Так и GDPR. Он говорит как надо защищать и как будут наказывать, если этого не делать. Но все всегда вольны не делать и, возможно, огрести по всей строгости закона.

1. можно увидеть видео с пруфом что парметр не стоит?

Таки логично запрашивать, наоборот, видео с пруфом, что он стоит.
И не только видео.
Так может стоило им написать и дождаться ответа, а не поднимать шум с желтыми заголовками?
GDPR не глупый. Законодатель увидел, что компании не заинтересованы в охране персональных данных, что там начался дикий капитализм и пришел к выводу, что нужны юридические ограничения. С капиталистами по-другому никак.
GDPR не глупый

Ага не глупый. Он создаёт огромные затраты индустрии на соответствие закону, который всё-равно не будет работать. Думаете компании действительно будут удалять информацию пользователей по запросу? Это просто очередной налог и рост бюрократии, который оплатит в итоге потребитель.

С капиталистами по-другому никак.

Ну вот такими статьями как эта можно воздействовать, создавать институт репутации. Зачем распильные законы плодить?
Вы плохо понимаете закон. Суть закона очень проста: персональные данные принадлежат не тому, кто их собрал, а пользователю. И охраняются законом. Вот и все.

Если вы честный и порядочный бизнес, который уважает своего пользователя, то для вас с приходом закона скорее всего ничего не изменилось.

> Думаете компании действительно будут удалять информацию

думаю, крупные западные компании будут, так как Европа это не кучка аборигенов (или россиян), чье мнение можно проигнорировать.

> Он создаёт огромные затраты индустрии на соответствие закону

В чем затраты? Дописать код для замены по запросу в базе данных «Иванов Иван» на «Удален Удален»? Я уверен, что блестящие разработчики в IT-компаниях такую задачу за день максимум решат.

Расскажите мне про затраты.

Да, для кого-то, кто привык зарабатывать продажей персональных данных дата-брокерам, теперь стало труднее это делать. Пусть займутся чем-нибудь другим.

>, создавать институт репутации

Вот смотрите, у нас был период нерегулируемого оборота перс. данных, и к чему он привел? Только к утечкам, скандалам и злоупотреблениям. Где ваш институт репутации? Работает? Вы мне верующего напоминаете, а вместо слепой веры попробуйте посмотреть на нынешнюю ситуацию.

Нет. Потому нужно отрегулировать эту сферу законодательно, так как другие механизмы не работают и мы скатываемся в дикий капитализм. Я хочу, чтобы можно было пользоваться любыми современными сервисами, но не жертвовать своей приватностью и не пополнять чьи-то базы данных. Кроме государства, это никто не обеспечит.
GDPR фактически делает использование блокчейна и прочие распределенных штук в коммерческих приложениях незаконными.
Если вы не храните персональные данные в блокчейне (зачем??), то все законно.
Расскажите мне про затраты.

Во всех крупных компаниях — создать и провести тренинги по GDPR, убедиться что сотрудники будут его соблюдать. Если проверок много — затраты на содержания армии бюрократов государством, затраты компаний на подготовку к этимпроверкам (в некоторых случаях коррупционые). Затраты на внутренние проверки, чтобы следовать закону — иначе платить штраф из-за Васи, который накосячил в функции удаления данных.
Если проверок от государства почти нет — то закон ничего не меняет, для недобросовестных компаний, но осложняет жизнь добросовестным. Т.е. на конкурентном рынке хорошие компании будут проигрывать плохим.
Сколько стоит отвлекать сотрудников от работы для информирования о GDPR, сколько стоит создание треннингов, сколько стоит для каждого онлайн сервиса создать соглашение о работе GDPR, сколько стоит готовиться к проверкам по закону, сколько стоит для каждого продукта компании отвлечь программистана дописать код для замены по запросу в базе данных «Иванов Иван» на «Удален Удален», сколько стоит постоянно проверять, что этот код работает правильно? Всё в сумме — большие деньги и много времени.

Я хочу, чтобы можно было пользоваться любыми современными сервисами, но не жертвовать своей приватностью и не пополнять чьи-то базы данных. Кроме государства, это никто не обеспечит.

Не нравится, что ваши данные используют — не пользуйтесь сервисом, у которого в соглашении написано, что он может их передавать третьим лицам. Государство может обеспечить лишь справедливый суд, то что не пополняются чьи-то базы не может обсепечить никакой закон. Всегда можно написать отдельный модуль, который шифрует данные и хранит на отдельном сервере, на случай проверки. Как тут поможет закон?
Если заметили, что ваши данные утекают и это протеворечит соглашению — судитесь с компанией. Зачем GDPR?

Вы плохо понимаете закон. Суть закона очень проста: персональные данные принадлежат не тому, кто их собрал, а пользователю.

То что там так написано — не значит, что оно так будет работать. Кто-то будет шифроваться, кто-то даст взятку, кто-то просто забьёт на соблюдение закона. Соблюдать будут только те, кто и до этого не торговал данными, только теперь им придётся ещё больше ресурсов тратить на это.
Мы удаляем, все полностью, даже обезличенный user_id и со своих партнеров контент провайдеров требуем удалять
Данные полей не передаются только если отдельно указать что вот мол этот и этот TextField — Sensitive View.

Доказательства, что в приложении БК поля ввода ПД — не установлены как Sensitive View?
Приложение BK не отдает информацию о подключении к WiFi / Cellular, а значит — не может контролировать это.

Опять же, доказательства? Да и проверить это можно по маршруту легко, диапозоны ip провайдеров мобильного интернета известны давно и находятся в свободном доступе.
GDPR — глупый закон

Это отменяет необходимость его соблюдения, и соответствие ему предмета обсуждения? Или вы у нас поклонник подхода «мне не нравится этот закон, я не буду его соблюдать»?
А на каком основании он должен доказывать, а вы не должны? Вы(вернее автор заглавного коммента) утверждали, что что-то есть, а автор стать то, что этого нет. Как минимум доказывать должны оба, а по правилам должны доказывать вы.
2. чтобы контролировать подключение к WiFi / Cellular эту инфу как раз и не надо передавать. Приложение само (на стороне клиента) может узнать эту информацию от OS API и решить — передавать ли видос или нет. Так что тут все ровно

Всё это не должно работать на странице ввода чувствительных данных и точка.


Либо не записывать данные вообще, либо в какой-то момент заблюренные этим алгоритмом области могут научиться восстанавливать. А если это sdk не блюрит, а вырезает куски экрана с видео, то в какой-то момент может произойти ошибка и данные не будут вырезаны. Может даже ошибка не на стороне разработчиков sdk: телефонов на android куча, многие производители модифицируют ОС под себя и грабли могут оказаться там, где их не ожидали.

Это должно работать на специально нанятых людях-тестерах. Если приложение рекламирует себя как приложение для заказа бургеров, то оно этим и должно заниматься, а не записывать тайком видео с экрана.

Тестировать должны тестеры, а не случайные пользователи.

Есть такое понятие, как «expectation of privacy». Мы ожидаем, что когда мы смотрим каталог бургеров, никто не заглядываем нам в телефон через плечо.
Почему же тайком? В Terms of Use, которые необходимо принять для регистрации, всё это написано, что пользователь даёт согласие на сбор всевозможной статистической и аналитической информации (не содержащей персональных данных) всеми доступными способами, которые не противоречат действующему законодательству.

Я понимаю, что никто их не читает и все ставят галочку акцепта на автомате, но вот возмущаться потом из-за этого — как минимум странно.
Это же типичная капиталистическая уловка: следить за людьми нельзя, а давайте пропишем это где-нибудь в глубине ToS, который никто не читает, и будем следить.

Нет, так не должно быть. Человек, пользуясь приложением, не ожидает, что кто-то будет стоять у него за плечом и смотреть в экран.

Представьте, если все начнут пользоваться такими уловками. Вы приходите к врачу, он вам говорит: вот дорогое лекарство, которое поможет вам в лечении. А в договоре мелкими буквами написано: согласно научным исследованиям, витамин C повышает сопротивляемость организма и повышает шанс выздоровления, потому вы согласны считать его лекарством. Вы приходите в автосалон, а там в договоре написано: предоплата в размере 30% не входит в стоимость машины, а лишь является оплатой работы по демонстрации автомобиля. Вы приходите в ресторан, а там в конце меню написано: «сделав заказ в нашем ресторане, вы соглашаетесь на пожизненную ежемесячную оплату в размере XXX р». Вы устраиваетесь на работу, а в внутреннем распорядке компании (нет, не в трудовом договоре) написано: «если работник не успел сделать задачу за отведенное руководителем время, для компенсации причиненного убытка следующие 12 месяцев он обязан работать по 12 часов в сутки. Работодатель имеет право менять Внутренний Порядок без предварительного уведомления».
Я всё равно не понимаю, в чём слежка-то заключается? Снимают не вас, снимают даже не экран устройства в целом, просто приложение записывает себя же, запись других приложений не ведётся.

Да и вообще, а если бы ваши действия в нём не записывались на видео а просто тщательно логировались в текстовом виде и отправлялись на сервер — вам было бы спокойнее?
Этот товарищ политрук вообще не про слежку тут речи толкает. А про то, что капитализм это плохо. А есть там слежка или нет её — это неважно, главное, что есть повод залезть на броневичок.
Самое ненормальное во всем этом явлении то, что многие люди уже считают это нормальным. Ну подумаешь в спальню залезли… но это же поможет производителю кроватей улучшить свой продукт! Попутно поделившись данными о твоей частной жизни с парой десятков «партнеров».
Это Вы еще про Google не знаете.
В какую спальню?? Максимум залезли в камеры в своем же магазине, когда вы там были, и посмотрели, что там люди делают.
Телефон принадлежит юзеру, а не им. Следовательно, территория юзерская.

Приложение пренадлижит не юзеру, а бургер кингу. Территория их. Это как если бы магазин вел статистику, где трудней всего ходить и где больше всего спотыкается народ

Совсем там все упоролись в вашем 21 веке с подменой понятий.
Но в нормальной системе логики главный на устройстве — компьютере, телефоне, автомобиле, холодильнике, чем угодно — его хозяин.
Только почему ваша спальня находится в здании бургер кинга, а люди из бургер кинга во время вашего отсутствия спокойно переделывают интерьер вашей спальни и вы совсем не против? :)
Чтобы улучшать приложение, необязательно использовать пользователей в качестве подопытных свинок. Можно нанять тестеров (например за бесплатный бургер) и тестировать на них.
так получается что они собственно так и делают
А вы приложение поставили не ради промокодов?
Даже если ради промокодов — пусть честно скажут, что они собирают в обмен на промокоды. Честная сделка происходит тогда, когда оба участника знают ее полные условия. А когда один участник обещает «бесплатные промокоды», и скрывает, что он заберет взамен — они находятся в неравных условиях.
Чисто из любопытства, вы как себе это представляете?

Ну, например, ролик по телевизору
«Яндекс. Найдётся всё!
В обмен мы продаём вас рекламодателям, для чего собираем:
— ваши поисковые запросы
— видео с экрана
— …
— …
— …
— …
— …
[62 пункта вырезано]
— …
»
Найдётся всё — и вы найдёте, и вас найдут.
А вот меня не устраивает сам факт записи действий.
И меня совершенно не должно волновать, что это «способ улучшить качество продукта», да е*** вы конём, вы с доходов улучшайте продукт.

Для меня это на уровне «мы улучшаем качество унитазов через видео записи из туалета, но не волнуйтесь, мы замажем ваш писюн». Вот по мне 1 в 1 ситуация.
Именно.

Я могу написать приложение, которое будет снимать вас в туалете, при этом маскироваться под видеочат к примеру. Вы позволите себя снимать? Обещаю, оно будет лучшим в категории "извращения". А снимать оно будет естественно только для улучшения своей статистики) Поставите?)

Вы открыли для себя сервис сбора статистики для мобильных приложений. Установлен флаг DetectCrashes (обычно видео используется для выяснения, что привело к падению приложения). Полистав сайт, можно увидеть, в каких приложениях еще используется этот сервис.

видео записывается даже тогда, когда вы указываете данные своей банковской карты
Это действительно так?
Нет, конечно. Просто пользователи Пикабу открыли для себя дивный мир мобильной аналитики.
Самое смешное, что это не заставит их перестать пользоваться мобильным приложением самого Пикабу, которое содержит:

— Google measurement
— Google Ads
— Appsflyer analytics/tracking
— Clevertap analytics/tracking
— io.branch.sdk metrics/analytics
— Yandex metrica/ads
— io.fabric.sdk metrics/analytics
— сервис аналитики самого Пикабу
— Google login (GooglePlus login)
— Twitter login
— Facebook login
— VK login
— Crashlytics

Последние пункты делают хоть что-то полезное, а остальное нужно лишь для анализа поведения пользователя и показа рекламы. Но поста про это на самом Пикабу никогда не будет, верно?
А если копнуть в настройки приватности гугла и вообще в его сервисы на Android, то придется переходить на кнопочные телефоны 2000х годов… У большей части юзеров пишется история передвижений, интересно, как они на это отреагируют?
История передвижений пишется даже на кнопочных телефонах, я вам это гарантирую.
Смотря каких.
На любых, в которых есть симка, поинтересуйтесь назначением файла usim/6f7e.
Я вам щас открою страаааашную тайну.
Есть Андройд смартфоны на чистом AOSP которые за тобой не следят.
Ничего подобного. Возьмите билд андроида, запустите на qemu каком-нибудь и посмотрите трафик.
В чистом андройде нет google api и он ничего не отправляет.
Учитывая то, кто у нас вендор Андроида, ваше утверждение выглядит крайне сомнительно.
О, анаэробная форма жизни, давно не виделись!
На вашей планете что, и Андроид другой?
Если серьёзно, в чистом Андроиде нету 3 китов гугла: Market, Services и API, по сути без них Андроид с Гуглом не связан вообще никак.
Ещё можете посмотреть на replicant.us
обычно видео используется для выяснения, что привело к падению приложения

Видео прямым потоком лилось на сервак AppSee, только вот приложение у меня ни разу не падало.
Хотелось поинтересоваться, как вы предскажете краш вашего приложения и за несколько секунд до этого начнете запись экрана? Скорее всего все происходит в онлайне по вполне конкретным причинам. Я за privacy и все такое, но тут обычный хайп, как было недавно с efail.
Хотелось поинтересоваться, как вы предскажете краш вашего приложения и за несколько секунд до этого начнете запись экрана?
Писать видео всегда, но отправлять только небольшой кусок до момента краша при повторном запуске приложения.
Насколько такой кусок должен быть небольшим и как вычислить его продолжительность? Ведь бывают совсем неочевидные баги. То, что вы сделали 1000 раз, может не завестись на 1001.
К тому же, тут уже ответили, что это так же может быть полезно для улучшения UI/UX.
В том и дело, основная цель AppSee — это обратная связь для улучшения интерфейса. Именно поэтому, с точки зрения AppSe, видео резать нет смысла — для анализа нужны все действия пользователя, начиная от первого запуска приложения. Не понимаю, как получилось, что во многих комментариях в этой теме разговор перетек в отлавливание багов, т.к. это уже дополнительная фича, которая скорее случайно поддерживается просто потому что реализация основной цели сервиса AppSee уже предоставила весь функционал.
Я привел пример краша, потому что автор говорит о записываемом видео. На сайте appsee говорится, что видео используется для краш репортинга. Поправьте, пожалуйста, если я не прав.
Если посмотреть видео с главной страницы youtu.be/QY2yCRnWx-A, то я бы его больше проинтерпретировал так: «AppSee помогает вам отследить поведение пользователей, и найти слабые места в интерфейсе вашего приложения. В том числе вы можете отслеживать краши». Просто я не понимаю, как может взлететь сервис, который занимается крашами — потому что тут ничего инновационного нету, с багами все бороться давно умеют, а вот анализ интерфейса — это другое дело, такого мир мобильных приложений, по-моему, еще не видел. Я веду к тому, что основная цель AppSee все таки нахождение слабых мест в интерфейсе, а не помощь в дебаггинге.

Например, как это сделано в камерах видеонаблюдения. Существует буфер предзаписи, и если что-то случается, то видео пишется на диск. Так и тут модно что-то подобное реализовать и отсылать видео непосредственно с крашем приложения.


А вообще, ИМХО, слать в прямом эфире видео и ни слова про это видео не говорить это не есть хорошо. Если надо постоянно следить за приложением, то как уже выше говорили, нанимайте тестеров и давайте им отдельное приложение, а не тратьте трафик пользователей, которые на это не соглашались.

пользователей, которые на это не соглашались
Ну вообще-то соглашались, подтверждая при регистрации прочтение и полное согласие с terms of use, где всё это упоминается.
Да пошли вы нахрен со своими terms of use и privacy policy, это уже реально смешно, хватит защищать подобные вещи! Вы сами-то внимательно читаете все до одного terms of use приложений и сервисов, которые используете? А если в terms of use будет написано «Нажимая Продолжить вы соглашаетесь пожертвовать своё правое яичко обществу борьбы с социальным неравенством» — вы тоже будете радостно хавать это и говорить «Ну что же, это ведь для борьбы с социальным неравенством, да и в terms of use прописано!»?
Любой подлости или злодеянию можно найти оправдание. Всякие там метрики и поиск багов меня как пользователя не интересуют, а вот слежение, даже оговоренное в terms of use, не очень. Цитата из «Незнайки на луне» хорошо подходит: «Какая мне разница, как меня обворуют, по закону или не по закону?»
Не забывайте также, что за вами следят:
— десятки видеокамер стационарного видеонаблюдения
— сотни видеорегистраторов
— Крупные магазины (тем боле те, в которых используете дисконтную карту)
— Браузеры/поисковые системы/провайдеры
— мобильные операторы
— утка (в случае, если у вас анатидаефобия)
— госстуктуры (ГИБДД, таможя, налоговая, военкоматы)
И что? Поймите одну вещь, даже если что-то происходит, происходит постоянно, происходит неизбежно и происходит по закону — это не говорит о том, что это норма. Избитый пример, но всё же упомяну — евреев в Третьем рейхе тоже по закону сжигали.

Избитый. Очень. Я понимаю, что любая дискуссия сводится в конце концов к Гитлеру, но все же не нужно приравнивать написанное выше к Холокосту. Различайте понятия слежки за поведением абстрактного пользователя и слежки за каждым конкретным человеком.
И да, тогда уже и избитая мысль с моей стороны — если вам не нравится закон — это повод попробовать изменить закон. А не устраивать луддизм.

Слежка за поведением абстрактного пользователя — это так же отвратительно. От того, что там прописано в законе, это не становится хорошим действием. В законах пока не пишут, что исполнять их нужно с энтузиазмом или что с законом нужно внутренне соглашаться. Почему лично вам слежка нравится и вы её защищаете, не ясно. Дело ваше, но другим она нравиться не обязана.

Не защищаю, а пытаюсь объяснить, зачем это делается и где это происходит. Судя по ажиотажу значительная часть присутствующих в треде имеют очень смутное представление об аналитике вообще и ее методах в частности.
И позвольте мне самому решать, что мое дело, а что нет.

Конечно позволяю. Так и написал, ваше отношение к слежке — дело ваше, вам решать. Люди, даже если и не очень технически подкованы, просто хотят, что бы за ними меньше следили. Хоть по закону, хоть без. Вполне понятное желание.

Хотят. И оставляют терабайты информации в соцсетях :)
Люди — странные животные

Ничего странного. Оставляют по собственному желанию. А скрытый сбор — он скрытый. Вполне логично и естественно иметь возможность рассказать о себе то, что хочешь (в т.ч. и в соцсетях), но при этом что бы скрыто ничего не собиралось.

Вы сами-то внимательно читаете все до одного terms of use приложений и сервисов, которые используете?
Честно говоря, нет. Но и возмущаться не буду, если вдруг окажется, что из-за своей же лени я упустил что-то важное в этих самых terms of use.
А если в terms of use будет написано «Нажимая Продолжить вы соглашаетесь пожертвовать своё правое яичко обществу борьбы с социальным неравенством»
То этот пункт будет противоречить действующему законодательству и поэтому будет признан недействительным.
а вот слежение, даже оговоренное в terms of use
Тут в комментариях многие уже писали про нарушение приватности и слежку, но никто так и не смог ответить на простой вопрос: в чём заключается-то это самое нарушение приватности пользователя и слежка за ним в целом, ведь приложение снимает свой же собственный экран, записи других приложений не ведёт, равно как попыток записать пользователя через фронтальную камеру. Или для вас слежка — любая фиксация приложением действий пользователя в нём? В таком случае непонятно, почему же текстовое логирование каждого действия пользователя в приложении не вызывает подобного ажиотажа.
Что значит «противоречить действующему законодательству»? Где-то в законодательстве прописан запрет на пожертвование яичек? Ладно, это шутейки всё и приписано только для демонстрации абсурдности ситуации, но в действительности в Terms of use может быть прописано и что-то не противоречащее законодательству, но для вас крайне неприятное, уж поверьте, фантазии юристов нет предела.
А кто сказал, что текстовое логирование каждого действия пользователя в приложении не вызывает ажиотажа? Если приложение без моего ведома что-то пишет и что-то куда-то шлёт — я буду возмущаться точно так же. Я совершенно не против багрепортов и отлично понимаю их полезность, но как-то привык к тому, чтобы приложение спрашивало меня перед тем, как их куда-то отправлять.
Если приложение без моего ведома что-то пишет и что-то куда-то шлёт — я буду возмущаться точно так же
С таким подходом вам не стоит пользоваться никакими мобильными приложениями, да и смартфонами тоже. И десктопными ОС также. Ведь все они что-то постоянно логируют и отсылают без вашего ведома.
с таким подходом ни стоит пользоваться телефоном как и любым другим средством связи. все же пишется и по закону.
Дебиан ничего не отсылает.
Зато любой сайт, который вы на нём открываете — отсылает.
> То этот пункт будет противоречить действующему законодательству и поэтому будет признан недействительным.

ну хорошо, пусть там будет пункт о пожизненной неотзываемой ежемесячной плате в размере 100 долларов. Если вам не нравится — не устанавливайте приложение, а раз установили — надо платить.
burgerking.ru/legal_for_app
Хрентатам. Тут нет такого. Если, конечно, это не написано в п.8.1 (может быть это «иные технические данные, необходимые для улучшения функционала и работоспособности Приложения»), но я не смог расшифровать его.
П.2.5 фееричен. Особенно в последнем предложении. Ну и специально для TS'а добавлен раздел 4, который он нарушил почти по всем пунктам.
Именно 8.1 я и имел в виду, да.
Но там ни слова про запись экрана.
Ну вы же сами процитировали: «иные технические данные, необходимые для улучшения функционала и работоспособности Приложения». Не думаю, что там нужен отдельный пункт именно про запись экрана, если пользователь уже согласился с тем, что приложение будет собирать любые «иные технические данные».
… а так же про то, что оно может взломать ваш домашний роутер, подключиться к вашей веб-камере и смотреть как вы с женой занимаетесь сексом, чтобы сразу после окончания прислать вам рекламу нового бургера: «Кончил? Подкрепись!».

Нет, ну а что, вы же «уже согласился с тем, что приложение будет собирать любые «иные технические данные».

Я, разумеется, адски утрирую, но мысль улавливаете?.. „Иные технические данные“ и „иные методы сбора информации“ — не синонимы.

Ндаа, хороший ресурс превратился в пикабу, очень жаль

Каникулы, судя по всему.
необходимые для улучшения функционала и работоспособности Приложения
А необходимость они смогут доказать? В прямом смысле — что без этих данных приложение улучшать невозможно?
Технические данные это, к примеру, разрешение и размер экрана, ЦПУ, об'ём памяти, модель телефона. Но никак не поведение пользователя.
Даа, п.2.5 это нечто.
Но п.4.10 ещё более фееричен.
такой раздел 4 очень сложно не нарушить
Надо просто при установке приложение спросить разрешение пользователя на видеозапись экрана. Откажется — значит, пусть не обижается, если его баг будет расследоваться дольше или вообще не будет исправлен.

А теперь подумайте, почему компании так не делают.
НЛО прилетело и оставило эту надпись здесь.

В тегах упомянута iOS, но насколько я знаю, там такое в принципе невозможно (запись всего экрана). Впрочем, возможно, приложение может делать снимки самого себя, но и то не факт.

Не пойму, как вообще можно пользоваться ОС с такими дырами в безопасности? Еще при этом и нахваливать. Каждое приложение запрашивает все что можно при установке, и потом делает все что вздумается. А если ты не согласен — сиди вообще без приложений. Я конечно про андроид.
Потому что модель полномочий в андроиде — говнище, и с каждым обновлением гугл ещё больше её уродует, вместо расширения набора разрешений добавляя неочевидные функции существующим. Например, для поиска Bluetooth устройств теперь нужно запросить разрешение на геолокацию.
Каждое приложение запрашивает все что можно при установке, и потом делает все что вздумается.
Разрешения уже давно не принимаются пользователем при установке приложения, сейчас в андроиде модель динамических разрешений, которые в любой момент можно предоставить или отозвать.
Вы вообще андроидом то пользуетесь? Самые популярные приложения запрашивают как можно больше как раз при установке.

Более того, пользователей бургер кинга система спросила можно ли записывать видео экрана этому приложению?
Мало того, что пользуюсь, так ещё и активно разрабатываю под него.

Повторюсь, уже как несколько лет разрешения не запрашиваются при установке, начиная с 6 версии андроида. Если по каким-то причинам на каком-то девайсе до сих пор стоит версия ниже шестой — проблемы конкретного девайса, а не платформы в целом.
Вы даже ответить толком на вопрос не можете, о чем тут говорить. В который раз убеждаюсь, на хабре большинство людей — мягко говоря не слишком сообразительные минусаторы, которые вообще мало в чем соображают.

Во первых, это зависит не только от версии андроида, но и от версии sdk — если приложение использует старую, то будет запрашивать все при установке (запретят эту версию сдк только через месяц, и то посмотрим). И никто не гарантирует что оно будет работать без разрешений, если все таки потом запретить. Более того, многие приложения с отключенными разрешениями тупо будут показывать вам экран что нужно их включить, в гугл плее за такое не банят.

Во вторых, все таки ответьте на вопрос: как мне отключить возможность снимать видео экрана? Андроид 8.1.0.
Во вторых, все таки ответьте на вопрос: как мне отключить возможность снимать видео экрана
Естественно никак. Подумайте сами, как вы можете запретить приложению получить доступ к своему же графическому контексту, к своим же views? А экраны других приложений оно и не записывает, да и не смогло бы, к слову.
О том и речь что не все вы контролируете, а вещь все таки важная — данные карты вводите (про то что они не отсылаются это вопрос поставленной галочки на сайте appsee и при условии безглючной его работы). По идее приложение должно запрашивать разрешение на такую съемку, и если пользователь не согласен то не снимать. Так что тут проблема не только в ОС (см мой первый пункт), но и в порядочности разработчика. А так как многого ждать от них не стоит, то даже скорей законодательства.
Боже, как вы вообще пользуетесь чужими приложениями?! — они же выполняют свои инструкции на вашем личном процессоре, и имеют непосредственный доступ к вашей оперативной памяти!
На свежих андроидах можно в любой момент отключить кому угодно какое угодно разрешение. Более того, у меня на телефоне я могу настроить уведомление о том, что такая-то программа использует то или иное разрешение, что помогает понять легитимность использования, скажем, камеры или микрофона.
Научите, плз. можно в личку.
На моем СГС8* с Android 8 это делается так:
Забиваете в настройках в поиск «permission» (можно найти в меню, но через поиск мне проще).
Выбираете App permission monitor.
Если выключен — включаете.
В списке приложений отмечаете те, за которыми нужен присмотр, если же кликнуть не на переключатель, а на само приложение, можно селективно отмечать разрешения.
В результате при использовании этого разрешения в нотификациях появляется строка «Приложение Х замечено в использовании камеры\микрофона\нужное подчеркнуть».

Отмечу, что это именно уведомление, т.е. запрета не происходит. Если нужно запретить, можно идти в настройках в App permissions, выбрать нужное разрешение, и в списке приложений, его запросивших, его отключить.

* Возможно, в чистом андроиде это может называться как-то по-другому.
Тоже попрошу вас поделиться. Переезжаю тут на андроид. И ещё вопрос, часто приложени отказываются работать или падают без разрешения. Почему никто не сделал модель shadow разрешений? чтобы приложение думало что разрешение есть и например видело пусто контакт лист или с левыми данными, и работало как и раньше ничего не подозревая.
Недавно писали про такое, по моему, XPrivacy (подставные контакты и т.д.). В итоге гугл удалил из стора.
Во, это то что я искал. Много глюков но это достаточная тема для гугления. Спасибо.
Поищите по запросу «miui второе пространство», правда это работает «из коробки» только на смартфонах Xiaomi с MIUI, а они сами — те ещё следаки за пользователем (по слухам и кредитки «анализировать» не стесняются).
Многие приложения будут угрожать при этом перестать работать, некоторые — будут реально переставать. Потому что (предположительно, я в этом вообще 0) — кодят под старые версии системы, где разрешения ставить нельзя и приложения могут все и сразу, даже то, чем не пользуются в принципе.
Самые популярные приложения запрашивают как можно больше как раз при установке.

Ну, вот что я разрешил приложению Facebook:


Украинский на скриншоте, но все должно быть ясно

Все, что мне надо, продолжает работать.


Или вот Instagram

Есть пара популярных приложений (вроде Viber), которые все еще используют старые версии SDK и получают все разрешения при установке (в настройках можно потом нужное отключить, правда, работоспособность приложения не гарантируется), но через месяц на Google Play они не смогут выкладывать обновления без поднятися SDK, поэтому такая хитрость у них больше не пройдет.

Скажите это разработчикам Мой МТС
Да, динамическая модель. Только вот все что потенциально может потребоватся (кроме СМС) — требуют при старте. Если не давать — требуют по новой. Если сказать что не дашь (галочка не спрашивать) — предложат разрешить в настройках или переустановить приложение.
На голом нерутованном андроиде — решения нет.
У (например) Wilefox есть возможность штатно включить 'т.н. защищенный режим' для особо наглых приложений — приложение получит свои данные которые так хочет. Только вот их реальность — вопрос отдельный. Для рутованных девайсов есть аналогичные средства.
Да я же не спорю, что любую концепцию можно изуродовать и сделать неудобной для пользователя. Мой изначальный комментарий был ответом на «Потому что модель полномочий в андроиде — говнище, и с каждым обновлением гугл ещё больше её уродует», а описанный вами пример — всё же неверное понимание и использование модели динамических разрешений разработчиками МТС, а не проблема платформы в целом.
Они как раз всё хорошо понимают. И требуют права чтобы получить от вас нужную им информацию шантажируя вас непредоставлением функционала
Приложение может писать все внутри себя.
Вы можете прямо написать приложение для какой платформы вы анализировали для статьи?
Возможно, в игре Asphalt 8 есть функция записи экрана, причем ее можно поставить в автоматический режим, когда пишется все автоматом.
да, так и есть внутри либы appsee по таймеру делает скрины основного экрана. Никакой записи видео в классическом понимании там не происходит
Так если адрес куда загружать файл известен (правда в статье полной ссылки нету). Так может загрузить им туда 10 часовое видео с котиками и т.п., на что хватит фантазии. А они уже пускай разбираются.
Взять реальную служебную инфу, а видео подсунуть у кого на что фантазии хватит.
Зачем котиков? лучше какого запрещенного материала, а потом статью написать что случайно нашел Детская порнография на сервере Первого канала
забавно, читал эту статью сегодня)
А что там было-то?)

Анонимусы с двача залезли на фтпшник «Первого», и первым делом залили туда запрещёнку, потом раструбили в СМИ

Очевидно, что никто не смотрит эти видео: дорогое удовольствие — нанимать людей для просмотра многих часов тыкания юзеров в экран.


В теории — оно может понадобиться только для того, чтобы в случае бага отследить последовательность действий юзера, приводящую к нему. Но, опять же, бессмысленно писать видео всегда — так что я предположил бы, что если у автора статьи запись/отсылка действительно идёт постоянно — то это или баг в приложении, или он что-то сломал (например, экспериментируя с приходящим с сервера конфигом).


На практике — лучше такого не делать, чтобы не нервировать юзеров :-). В смысле, если и предусмотреть запись экрана — то чтобы юзер сам давал команду на это, это успокаивает нервы :-D

Я не ломал ничего и трафик не менял.

Ok, значит, баг. Интересно, воспроизводится ли он у других пользователей. И что стало его причиной.
Я бы на вашем месте написал багрепорт и БургерКингу, и АппСи. А как временное решение, пока не разберутся и не починят — заблокировал бы на всякий случай их домен через hosts (ну, это для андроид). Или как постоянное, просто на всякий случай =). Хотя, конечно, от выжирания батарейки это не спасёт.

Я как пользователь не обязан этим заниматься. Максимальная длинна видео выставлена в бесконечность, и это вот ни разу не баг.

Ну, вы не обязаны и трафик исследовать, и много что ещё =). Однако вы это сделали, и логично довести дело до конца — чтобы у других юзеров не писалось видео, не жралась батарейка и т.п.

А зачем занимать свой интернет канал? Просто оставлю это и вот это здесь.
Шикарно! К 42 я бы добавил ещё несколько итераций архивирования, чтобы для распаковки не хватило бы даже атомов во вселенной :)))
Обычная аналитика, которая существует уже не первые годы на рынке (та же Appsee). Многие компании это применяют. В чем паника, если поставщик услуг и так знает все ваши данные, а дальше «окна» приложения аналитика писать не может, ввиду отсутствие прав со стороны системы? Какая-то неделя «открытий» на хабре началась.
Вот так выглядит само видео

Вернее было бы сказать, что так выглядит скриншот видео. Если мне не изменяет память, то согласно документации Appsee, поля ввода в конечном виде будут скрыты. Более того, запустить приложение без этого параметра просто не получится.
А то, что отсылает телеметрию — это обычная практика. Вот только не в Full HD и даже не в 720p@30 FPS. На таком кодировании смартфон бы завис или перегрелся. В общем, советую автору не искать заговора там, где его нет. И почитать о телеметрии в Windows 10, например — если это не отобьёт у него желание выходить в интернет, то хоть по матчасти подтянет.
Не представляю как их порвет, когда они узнают, что поисковики записывают историю поиска.
На гуглосторе даже устроили набег в комментарии бургеркинга. Запись видео их гастрономических предпочтений, как так можно вообще, что за киберпанк
Если мне не изменяет память, то согласно документации Appsee, поля ввода в конечном виде будут скрыты.
Или не будут. На скриншоте не скрыто.
Вряд ли оно скрывается на лету сразу на телефоне, а если они делают это у себя на серверах, т.е. получают видео в нормальном режиме, а потом происходит постобработка, то где гарантия что какой-нибудь программист, недовольный своей зарплатой, не пошаманит немного на сервере видеообработки чтобы оттуда предварительно вырезались номера кредитных карт, например? Ну и MITM, судя по статье, прекрасно работает с их статистикой.
Вы где-то видите поля ввода с введенными данными на скриншоте?
Нет, принял за него белый прямоугольник :)
Но всё остальное остаётся в силе.
Для MITM злоумышленнику нужно сначала свой корневой сертификат установить на телефон пользователя…
То, что обычная практика, это не значит, что так должно быть.

Приложение рекламирует себя как приложение для заказа еды, а не для участия в экспериментах в качестве подопытной свинки.

Если они хотят тестировать приложение, пусть нанимают тестеров.

Идеи вроде набегов на гуглстор поддерживаю. Пусть другие пользователи хотя бы правду узнают, может быть это уменьшит число пользователей и как следствие уменьшит число случаев нарушения приватности. А компанию заставит задуматься об этичности своего поведения.
Пусть другие пользователи хотя бы правду узнают
Гм, какую правду? Это всё в Terms of Use написано и ни от кого не скрывается.
Подумайте, почему это написано размытым языком где-то в глубине занудного документа, который никто не читает, а не например в рекламе приложения: «новая возможность! теперь мы будем следить за вами!». Почему в Гугл Плей не написано большими буквами про это?

Потому что это типичная капиталистическая уловка — вроде как и сказать правду, но так, что никто про эту особенность не узнает. Раньше банки, например, так писали условия кредита, чтобы невозможно было без компьютера под рукой понять, сколько придется платить, потом законодатель их прижал и заставил писать окончательную сумму выплат.

Я тут уже написал, что будет, если все будут брать пример с IT компаний: habr.com/post/416919/#comment_18874353
Раньше банки, например, так писали условия кредита, чтобы невозможно было без компьютера под рукой понять, сколько придется платить, потом законодатель их прижал и заставил писать окончательную сумму выплат.

Это да. С июня этого года теперь и в денежном выражении должны писать за весь срок кредита, до этого было только требование писать ставку в годовом выражении с учетом всех выплат.
У Альфа-банка и в 2018 считается нормальным:
— дать 3 листа где разные проценты и суммы минплатежей, на вопрос как понимать — говорят что это общие правила и вас касается вот этот лист (но подпишите все)
— сказать что кредитке где 100 дней льготный период он не совсем льготный — первые месяцы — 0.84% в месяц (страховка).
— в ответ на вопрос что будет если в заявлении про страховку поставить галочку в поле НЕ соглашаюсь (там есть такая) — ответ операциониста что система не примет а отменить можно не раньше чем через 90 дней (по телефону все отключили)
Запись экрана — вполне официальная фича www.appsee.com/features/user-recordings
Добро пожаловать в суровую действительность.
p.s. Соответствие GDPR — www.appsee.com/gdpr
А отсутствие конфигурации Sensitive Views — Вас не смущает? :)
не силен в iOS. Вы про это www.appsee.com/features/touch-heatmaps?
Нет, погуглите «AppSee Sensitive Views SDK».
Ну, лично меня смущает отсутствие видео. Автор, тебя могут слить, вон первые минусы уже пошли. Сложно сделать 100%-ное доказательство?
Да ну на сайте аналитической компании написано все — пишут они видео, но ПДн не собирают (по крайней мере официально)
Так а чем видео Вам поможет? Для меня не проблема записать его (если БК к тому времени не отключит апси у себя), но чем оно поможет если на сайте AS указано, что оно записывает.

Автор, тебя могут слить, вон первые минусы уже пошли.
Ну, пусть сливают. Моё дело — донести до общественности.
Для меня не проблема записать его


Это утверждение выглядит странно, учитывая, сколько раз его у вас просили.

Моё дело — донести до общественности.


Что именно донести? Железных пруфов ваших слов — нет, статья выглядит подозрительно.
Ссылка на видео. Ой вот только тут, кажется, наоборот поля ввода замазаны. Ну ничего, надеюсь, автор скоро предоставит свою версию.
Меня немного смущает, что там два видео с разной комбинацией замазанных полей. В одном поля даты замазаны, а в другом — нет
Вероятно, замазывает только непустые.

На первом видео во всех полях есть данные, все закрашены.
На втором — поля с датой незаполены.
тащемта, что и требовалось доказать)
может напишите отдельный пост?
Смысл видео в том, что бы узнать, как происходит обработка sensitive data.
Автор, я тебя еще на Пика*у просил сделать видео, просили и другие люди. Тебе его сделать не проблема, но видео всё нет и нет. Выглядит подозрительно, ты так не считаешь?
Как-то пробовал заказать через это приложение поесть, но в итоге сняли рубль и не вернули (для привязки карты)
Да и если не ошибаюсь, там CVV даже звездочками не помечается, а виден явно
мне aws доллар вернул через 3 месяца вроде на виртуальную карту яндекса
Я не стал заморачиваться, и писать им по этому поводу.
Но если они каждому, кто привязывает свою карту в приложении, не будут возвращать 1 рубль, то дополнительная прибыль будет неплохая
если CVV не закрывается звездочкой, то это нарушение PCI DSS — им бы никто не разрешил проводить платежи онлайн
Приложение, к сожалению, уже удалил, проверить нет возможности. Писал по памяти, вероятно перепутал с Аliexpress, там код безопасности не закрывается звездочками.
А в настройках аппы есть тоггл на отключение аналитики? Это нужно для воспроизведения крэшэй, не более того.
Нет. Более того — никаких уведомлений.
Значит это было в Terms & Conditions.

Ага, рядом с пунктом о продаже бессмертной души :-)
(не совсем шутка: гуглим "лицензионное соглашение продажа души" — находим историю про Game Station и ~7500 пользователей, продавших души)

Зачем разгонять новость о сборе аналитики мобильным приложением? Дешевая популярность и внимание. Вы бы хоть прочли про Appsee и зачем он нужен.
Год назад еще про него писали статьи другие параноики:
«Через сервис статистики AppSee уводились номера российских банковских карт.»
news.rambler.ru/internet/36063287
А почему вас так беспокоит популярность автора, а не нарушение ожиданий пользователя? Вы случайно не в сервисе аналитики работаете?
Не то, чтобы беспокоит, но тут мне видится, что желание популярности у автора бежит впереди желания вдумчивого изучения вопроса. И ссылка «Связь со мной для журналистов» это только подтверждает.
По Вашему, все, кто критикуют пост — случайно работают в сервисе аналитики? Отличная логика, да. Хоть это и глупо, но отвечу — нет, не работаю, не работал и знакомых там тоже нет.
Меня беспокоит только человеческое невежество, которое порождает панику. Appsee появились на рынке в 2012 году, причем открыто заявили о своих фичах, но до сих пор находятся люди «уличающие» их в воровстве персональных данных. Наверное это заговор, что они 6 лет собирают статистику и их еще не прикрыли.
Причем в интервью Цахи Боуссиба открыто заявлял о фичах.
apptractor.ru/measure/user-analytics/zahi-boussiba-appsee-interview.html
Если они появились 6 лет назад, то к ним должно быть какое-то особое отношение? Не понимаю.

Одно дело — презентация для специалистов отрасли, другое дело понятное простому пользователю объяснение.

Вот смотрите, фейсбук тоже ведь ссылался на всякие документы, мол мы давно работаем и всех все устраивает, а как оказалось, что он может быть причастен к влиянию на выборы, законодатели его прижали, так сразу запел по-другому: мы и доступ закроем, и проверим другие приложения, и интерфейс улучшим. Капиталисты, увы, кроме государственного кулака, другого языка не понимают.

Не волнуйтесь, фейсбук тоже за вами следит и будет следить, как бы его ни прижимали. А если б вы знали как следят Google, Apple и MS, вообще давно бы от смартфонов отказались xD

Нет это всего лишь говорит, что они 6 лет работают на рынке Америки и Европы и ни у кого к ним не возникло серьезных вопросов. Пример с фейсбуком тут причем? Это политическое разбирательство, а не нарушение каких-то законов. И человек, которого вы защищаете пока что не предоставил фактов передачи видео на сторону, но нагнал пурги, которую понесли все СМИ без понимания, что они даже сообщают, в итоге паника посеяна из-за одного некомпетентного человека и толпы зевак, которые без понимания верят во все, что им сказали.
Меня беспокоит только человеческое невежество, которое порождает панику. Appsee появились на рынке в 2012 году, причем открыто заявили о своих фичах

А вы всерьёз уверены, что если конечный пользователь не прочёл документацию, предназначенную для разработчиков использованной в приложении библиотеки, то он — невежда? Я, как пользователь, понятия не имею, что вообще в природе есть какая-то аппсии, которая внезапно пишет видео. Я ставлю бургер-кинг, я не ставлю аппсии. Почему, желая купить бутерброд, я должен штудировать техдокументацию неведомого мне аппсии и читать интервью неведомого мне Цахи и как я вообще должен узнать о его существовании? И даже в пользовательском соглашении НЕ написано, что будет писаться видео с девайса, а, тем более, тонкости с заблуриванием нужных полей.
Да, и что касается блура. На хабре было несколько статей о том, как успешно восстанавливать забруренные данные. Причём восстанавливается картинка, даже не имея алгоритма блура. А уже если есть в наличии алгоритм, то задача восстановления данных выглядит вообще тривиальной (я не утверждаю, что так и есть, но это выглядит крайне странно — зачем вообще блурить, а не вырезать поля полностью?).
Да и ссылки на заявления о том, что они не будут использовать полученные данные выглядят, как "мамой клянус!". Для того, чтобы точно НЕ использовать полученные данные (намерненно или случайно, для пользователя это не важно) нужно точно их НЕ собирать. А они собирают. Вот в чём проблема. А не в том, что какой-то Цахи когда-то открыто заявил — "мамой клянус".

Тут, в общем-то, три исхода.
Либо он реально нашел дыру, и по какой-то своей причине не выкладывает видео с пруфом, вероятность этого исхода — стремительно уменьшается с каждым часом. Чего он ждет — непонятно, люди могут и повторить описанный трюк, и получить опровержение, которое будет даже еще громче, чем исходный пост.

Либо он ошибся, но словил хайпа, публикация разлетелась по агрегаторам, десант заминусил аппу БК в сторах, и теперь ему не хватает духу сказать «Сорян, посоны, я прогнал». Не будем забывать также и про то, что в этом случае БК может и ответить иском.

Либо — я не исключаю — это продуманная рекламная кампания БК-шных конкурентов. А может — и самого БК, учитывая их склонность к эпатажу. А может, и вирусный вброс с неясными (хотя определенные соображения уже есть) целями и заказчиками.
Видео опубликовано пользователем пикабу. Чекните в поиске «А что такое этот ваш AppSee? [Re: Приложение Burger King тайно записывает экран телефона! ]» на пикабу/хабре

Понятно, что всё ради хайпа… Человек сам идёт на явное нарушение правил Хабра, и думает, что крупные компании так же неадекватны и закон им не писан.


А вот почему из тысяч приложений, которые используют AppSee, было выбрано именно это? Вопрос отдельный. И не исключено, что имеет место спланированный вброс.


P.S. Ну а почему до сих пор нет видео-пруфа — возможная причина только одна. Видимо, там просто нет пруфа :-)

Тем не менее реакция представителя Бургер Кинга очень однозначна. Правда хорошо бы кроме скриншотов, оставлять ссылки на страницы с комментариями (даже в личном бложике). Но не исключено, что автор поста просто пока перебывает в эйфории от поднятого хайпа.
Реации представителей Бургер Кинга еще не было. По крайней мере на Пикабу. Там был точно такой же вброс. Возможно, от самого же автора данного «разоблачения».

В посте была указана несуществующая почта. Я это проверил и написал об этом. И пост сразу же был удален. «Непрокатило, вычеркиваю».

image

Ответили, говорят что получают только обезличенную аналитику, и про gdpr не забыли упомянуть.

Человек информирует людей. Ведь нормальный пользователь вряд ли ожидает, что кто-то подглядывает ему в телефон, когда он смотрит каталог бургеров.

Информирования никогда не бывает мало. Надо, чтобы каждый пользователь знал про такие приложения и не устанавливал бы их. Чтобы про это писали СМИ. В борьбе с врагом все средства хороши.
Здесь видно абсолютную безграмотность и отсутствие опыта у молодого специалиста в сфере разработки мобильных приложений. Опыт придёт со временем, ничего страшного.

Куда страшнее отношение общественности к данному явлению. Если зайти на сайт-первоисточник, то там первый комментарий в топе имеет смысл: "это что, оно хранит данные банковской карты, если я ввожу их?". Большинство пользователей подхватило и все, хаос обеспечен.

Интересно, если на пикабу создать пост про вебвизор, который упомянули выше, то какие обороты паранойи среди обычного населения он наберёт?
А почему люди должны использоваться в качестве подопытных свинок? Приложение рекламирует себя как приложение для заказа бургеров, а не приложение для бесплатной работы тестером.
Потому что без аналитики подобного плана эти же люди потом пишут отзывы типа «вот эта кнопка очень неудобная, тут ни черта не понятно, вот этот пункт меню нужен всегда на первом экране, а вы его спрятали на третий уровень» ну и т.д.
Это не «тестирование», не путайте теплое с мягким. А в случае если действительно записывается видео, а не просто тапы по экрану — это скорее реализация методом наименьшего сопротивления.
Это и есть дикий нерегулируемый капитализм (нарушение ожидаемой приватности пользователя, оправдываемое спрятанным где-то в privacy policy пунктом). Это мы уже проходили — без государственных ограничений бизнес всегда приходит к каким-то диким и невыгодным большинству решениям. Например, до принятия законов о труде бизнес выстроил ситуацию, в которой люди должны были работать излишне длинные смены за минимальную плату (хотя что скрывать, это и сейчас есть, например в сфере так называемых «сервисов заказа такси»).

То, что капиталисту неудобно, еще не повод устраивать слежку за пользователем. Пусть своим разработчикам камеру на лоб повесят и они круглосуточно с ней ходят, если им так нужна аналитика.
Т.е. вы к подобным вещам вообще отношения не имеете, полностью проигнорировали то, что я написал по поводу UX и видите в этом только нарушение личного пространства?
А в чём приватность пользователя нарушается, можете рассказать? Ну и про слежку тоже интересно. Мне, например, как параноику со стажем, не очень понятно, какие-такие приватные действия вы осуществляете при заказе бургера. И как же тогда быть в самих заведениях, ведь там — о боже! — кто-то может услышать ваш заказ и узнать ваши вкусовые предпочтения.

Ну и вообще, если кого-то что-то не устраивает в условиях предоставления услуг какого-либо сервиса, то очевидным и логичным выходом из этой ситуации будет перестать им пользоваться, разве нет? Лично я так обычно поступаю. А то устроили чёрт знает что на пустом месте. Ещё и СМИ радостно эту тему репостят теперь, а хомячкам лишь дай пищу.
Более того, скорее всего такие данные обезличены. Зато вот в заведениях, явно понятно кто и что и сказал, но ведь это мало кого волнует.
В смысле обезличены? Они знают всё до номера телефона и номер заказа наверняка не тайна, и где забирать ты его будешь, тоже знают.
Омг, краснопузым только дай повод залезть на броневичок и потолкать свою демагогию о клятом капитализме. Святые нашлись.
Вот знаешь, меня порой умиляют подобные посты слепого доверия к технологиям и фичам, вот сколько, было «ааа, оно должно блюрить, блочить и проч запись кредиток» Но по сабжу, как было замечено сколько было миллиардов потеряно из-за мелких багов, которые и валили всю логику и архитектуру. Для обывателей подобный хаос и недоверие оно просто необходимо, ибо они не знают и не понимают, какие могут быть последствия вбивания номеров телефонов на «некоторых» сайтах так называемых пинсабмитами, нельзя отправлять смс на короткие номера, почему нельзя устанавливать на телефон приложения формата *.apk. Почему не рекомендуется пользоваться мобильным банкингом в виде приложений и многое другое. Люди просто не задумываются и не верят, что кто-то может позариться на их святое. И вот такие пусть частичные вбросы позволяют им хоть чуть подумать о последствиях.
Интересная психология у людей.

Имеется явный случай ущемления прав пользователей и обмана их компанией (скрытая съемка экрана приложения).

При этом в комментариях все ищут в чем бы обвинить автора (а не компанию). Мол, он славы ищет, не знает кухни разработчиков, все так делают, надо читать договор и тд. Отчего так, интересно? Вряд ли ведь они все работают в сервисах аналитики.
А причем тут психогия людей? Разные люди, разные мнения. Есть такие как вы, которые его защищают.