iPhone曝新安全隱患：部分應用可偷偷「錄屏」記錄用戶隱私

上周，一名14歲少年發現了蘋果iOS的Facetime群組通話漏洞，有可能被不法分子利用將iPhone變成監聽工具。隨後，蘋果關閉Facetime群組通話伺服器，並於今天發布了iOS 12.1.4更新修復該問題。然而，外媒Techcrunch近日曝光了iPhone的另一個嚴重安全隱患：部分應用會記錄用戶操作。

部分iPhone應用可「錄屏」 記錄用戶操作及密碼

據報道稱，部分應用如加拿大航空、 Hollister（服裝購物應用）、Expedia（酒店預訂應用）會偷偷「錄屏」，監控並記錄用戶在應用內的一切操作，包括點擊、輸入的文字等，其中涉及信用卡號和密碼。

據悉，造成這個問題的原因是一項名為「Glassbox」的框架服務，該服務旨在幫助商家獲得用戶使用應用的部分習慣，從而實現業務提升。在Glassbox的官推上，最近一條宣傳語是：「想像一下，你能在自己的網站或應用程序能夠準確地看到客戶的實時操作、以及他們為什麼這麼做。」已經間接說明Glassbox所提供的服務內容，也就是「錄屏」式的記錄用戶操作。

該技術被稱作「會話重放」，允許開發人員記錄用戶的屏幕、並播放內容，來了解用戶與應用程序的交互行為。這種記錄精確到每個點擊、鍵盤輸入等，然後會被截屏並返回至開發人員。

研究人員在加拿大航空應用中輸入信用卡號、有效期和安全碼，並通過Charles Proxy攔截輸入發送的數據，發現的確存在重放現象，同時由於應用內的關鍵字屏蔽功能不完善（卡號、密碼輸入後不會自動隱藏為*號），導致該重放泄露了大量用戶隱私數據。事實上就在幾周前，加拿大航空公司宣布其手機應用程序存在數據泄露情況，約2萬個配置文件信息泄露。

不過，Techcrunch也表示每個應用數據的回放數據接收端不同，比如加拿大航空應用是將數據發回至Glassbox伺服器、而Hollister等則是發回自己的伺服器。

蘋果應該限制Glassbox服務

雖然上述應用程序在提交至AppStore時需要標註並遵守蘋果的隱私策略，但遺憾的是，在這些應用的描述中完全沒有提及「錄屏」。顯然，大部分的用戶都不知道使用基於Glassbox架構的應用、會被偷偷錄下操作並發回給商家。

諷刺的是，在今年一月舉行的CES 2019消費電子展外場，蘋果掛起了宣傳iPhone隱私保護的大幅廣告；而現在，你使用某個應用程序的每一個點擊、輸入內容，甚至信用卡號和密碼都有可能被記錄下來，甚至被黑客盜取。

目前，蘋果尚未對該問題發表言論。加拿大航空則大方承認：「加拿大航空公司使用客戶提供的信息確保我們能夠提供相應的服務、解決問題，其中包括輸入的用戶信息。不過，加拿大航空公司不會也不能截取加拿大航空應用程序之外的手機屏幕內容。」

另外，尚不清楚國內是否有應用程序採用了Glassbox架構。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！