Через сервис статистики AppSee уводились номера российских банковских карт
Разработчик Дмитрий Ковалев опубликовал в Фейсбуке любопытную историю. В iOS-приложении (!!!) одного из заказчиков обнаружен код для угона банковских карт. Программа записывала видео всего, что происходило на экране платежной формы, и высылала ролики на удаленный сервер.
У нас оказалась гора видеозаписей на которых видно как люди вводят свои данные. Если бы я не был добрым, я бы был богаче.
Как узнать о встроенной статистике AppSee в любимом приложении?
Обыкновенному пользователю — никак. Сервис довольно популярен среди разработчиков, потому что первым предложил сбор данных о пользователе через запись происходящего на экране. Изначально стояла благая идея помощи разрабам по увеличению конверсии в софте, где предполагались денежные транзакции: онлайн-магазины, провайдеры, биржевые клиенты. Так, например, в одном Форекс-клиенте конверсию удалось поднять на 30% после анализа, куда тапали и что просматривали пользователи.
После привлечения AppSee осенью 2014 двух миллионов долларов в качестве инвестиций о необычной израильской статистике узнали многие и подписались на платные тарифы. По словам основателя Цахи Боусиба, база AppSee насчитывает несколько миллиардов видеозаписей экранов. Такую возможность слежки не могли упустить любители поживиться за счет других. Вот как это происходит.
Почему Apple молчит?
С точки зрения Apple нарушений нет. Если вы стукнули соседа по голове макбуком, виновата ли Apple? Если вы отослали вору через iMessage пароль, должна ли Apple отвечать за ваши действия? Думаю, нет.
Согласно правилам Apple:
- для виртуальных покупок и услуг в приложениях задействуется ТОЛЬКО in-App purchase;
- для покупки реальных товаров с помощью банковскиз карт — сторонние сервисы / API (Paypal, Qiwi и прочие).
Разработчик не раскрывает имя клиента и тематику приложения, но можно предположить, что через софт оплачивались некие реальные товары, поэтому Apple без вопросов пропустила софт со сторонним шлюзом в App Store.
Издатель приложения виноват?
Он сам не знал о том, что программист-фрилансер подсунул свинью. Часто заказчик не способен проконтролировать код и вынужден доверять исполнителю. Но незнание не освобождает от вины.
Владелец приложения виноват, что начал работать нечестным фрилансером без договора и прочего. Таким славятся индийские конторы, которые предлагают цены на разработку в несколько раз меньше западных компаний. Издатель, скорее всего, обратился в такую.
В крупных компаниях с продукт-менеджером и профессиональными программистами встраивание кода маловероятно, но и цены выше. Поэтому многих манит вывеска «дешево и сердито, made in India», но потом на вылавливание косяков и устранение багов тратится драгоценное время. И репутация.
Что теперь делать?
Пострадавшим сочувствую, а остальным советую избегать ввода банковских карт в каких бы то ни было приложениях. У каждого магазина есть сайт, у каждой биржи есть домен, вот там и вводите реквизиты. Но как только приложение предлагает поделиться номером кредитки, мол, это быстро и удобно, решайте сами:
- Удалить приложение;
- Оставить приложение, но оплату товара произвести через сайт. Например, через клиенты Amazon, eBay, Литреса я только ищу товар, а оплачиваю на сайте.
Других вариантов нет. А если есть, расскажите в комментариях.