Встраиваемый во многие популярные мобильные приложения сервис, как выяснилось, можно настроить на запись видео с экрана приложения для отслеживания ввода данных банковской карты или входа в платежную систему. Таким образом, инструмент можно использовать не только для аналитики, но и в мошеннических целях.

Аналитический инструмент мобильных приложений APSEE может использоваться мошенниками

Фото: Pixabay

Как обнаружил сооснователь компании-разработчика ПО Lodoss Team Дмитрий Ковалев, популярный аналитический сервис Appsee, который помогает анализировать поведение пользователя в приложении, и среди прочего, записывает его действия, легко может быть использован в мошеннических целях. О примере такого использования он написал на своей странице в Facebook.

По словам Ковалева, в его компанию обратился заказчик с просьбой добавить функцию в некое мобильное приложение (его название не раскрывается). Во время работы было обнаружено, что в приложении используется Appsee, встроенный одним из программистов клиента без его ведома.

После того, как через службу поддержки был получен доступ к сервису, обнаружилось, что он был настроен на запись видео с эрана приложения, на котором пользователь вводил данные своей банковской карты или счета в платежной системе PayPal. Таким образом, любой, получивший доступ к этим видеозаписям, мог легко снять деньги пользователей.

По мнению Ковалева, хищения средств в итоге не произошло, так как доступ к сервису был перекрыт в момент сбора информации о кредитных картах, и программист, встроивший код Appsee в приложение, получив информацию о закрытии доступа, вряд ли осмелится воспользоваться уже собранными данными.

По правилам работы с Appsee разработчики обязаны настраивать его при сборе информации определенным образом, чтобы не записывать данные пользователей. Также необходимо предупреждать их о том, что в приложении установлен сервис сбора и записи.

Однако, как выяснилось, это не спасает от недобросовестных программистов, которые могут встраивать подобные сервисы в приложения без ведома их заказчика. В такой ситуации можно только посоветовать разработчикам приложений внимательнее следить за тем, чем занимаются их сотрудники, ну а пользователям — более придирчиво относиться к мобильным приложениям, в которых требуется вводить свои платежные данные.

 

1308