Мобильное приложение Burger King, используемое клиентами сети для заказа блюд, заподозрили в краже личных данных со смартфона.

В частности, в том, что приложение записывает активность пользователя на экране устройства, что и может являться источником потери данных, рассказал пользователь Picabu под ником fennikami.

Эксперт проанализировал приложение на своем iPhone, выявив подозрительные опции, позволяющие следить за пользователем. Оказалось, что в процессе обмена информацией с сервером приложению приходят инструкции для записи видео с экрана мобильного устройства.

«Причем, параметр MaxVideoLength (максимальная длина видео) указан как „0“, что значит — бесконечная запись (при запущенном приложении)! Приложение не просто записывает экран, а делает это постоянно, и ровно таким же образом постоянно отсылает запись на сервер. Как вам, пользователи мобильного интернета?», — пишет исследователь.

Кроме того, приложение может сопоставлять данные о прикосновениях пользователя к экрану и сверять их с картинкой, тем самым получая еще больше информации о пользователе. Экран записывается даже тогда, когда пользователь вбивает данные своей банковской карты в приложение. Таким образом, любые вводимые пользователем конфиденциальные данные могут быть записаны приложением и могут попасть в руки третьих лиц. Специалист также отметил, что доступ к этим записанным видео могут получить не только разработчики приложения Burger King, но и различные маркетологи.

«Приложение Burger King записывает прикосновения к экрану и может сопоставлять их с видео на экране, и эта информация как и видео доступна целой куче людей», — заключил эксперт.

Опровержение

В свою очередь сеть Burger King опровергла информация о сборе данных банковских карт пользователей. В компании сообщили, что приложение действительно подключено к аналитической платформе AppSee, однако все данные приходят на сервер в обезличенном виде (то есть не видно имени пользователя и его личных данных). AppSee работает под европейским законом о защите персональных данных, поэтому любой сбор таких данных обернулся бы для них огромными штрафами со стороны большого количества государств.

«Мобильное приложение „Бургер Кинг“ с удаленным заказом не собирает персональных данных своих подписчиков. Все транзакции надежно защищены одним из лучших эквайеров страны — „Яндекс.Касса“. Данные о поведении пользователей в приложении не содержат информации о банковских картах и не хранятся на сервере. Более того, данные а) обезличены и б) закодированы, так что даже при большом желании невозможно получить персональные данные», — заявил Сергей Очеретин, диджитал-директор «Бургер Кинг Россия».

Sostav.ru