知名訂房網站、航空公司、零售業者未經同 - 旅館

知名訂房網站、航空公司、零售業者未經同意暗中側錄用戶App使用螢幕畫面
https://www.ithome.com.tw/news/128668

Hotels.com及加拿大航空等企業App會暗中錄下iPhone用戶在螢幕上的操作動作，蘋果得
知此事後已要求這些公司修正



繼一月底爆料臉書VPN App以月費20美元代價換取用戶同意提供一切手機上的行為後，
Techcrunch再揭露，多家知名業者包括Abercrombie & Fitch、Expedia、Hotels.com及加
拿大航空App會在未告知使用者的情況下，偷偷錄下iPhone用戶在螢幕上的所有點擊、滑
手機與按鍵動作。蘋果聞訊後已要求這些業者修正。

Techcruch最新一次調查蒐集了多家知名公司，包括訂房及訂票網站、流行服務品牌、電
信、航空公司及銀行、金融業者的iOS App。結果發現所有廠商，包括Holister、Expedia
及加拿大航空等知名企業的iOS App，都沒有在服務條款中提及會紀錄使用者App的螢幕畫
面，自然也就沒有取得用戶同意這回事，用戶當然也對這些行為一無所知。

此外，Abercrombie & Fitch、Hotels.com和新加坡航空還使用一家用戶使用經驗分析平
台Glassbox的服務，在其App中嵌入連線重播（session replay）的技術。該技術可錄下
用戶使用App時的每個點擊、按鍵與鍵盤輸入的內容動作，然後回傳給App開發商，有的則
是回傳給Glassbox的雲端平台作為用戶行為分析。

但是和Techcrunch合作的安全研究公司，利用中間人攻擊工具（man-in-the-middle）從
中攔截這些App回傳時的流量時，發現部份公司如加拿大航空的App，並沒有實作完整的資
料遮罩，以致於用戶信用卡號碼、生日與住址可被明碼取得。

這些未告知用戶而錄下App使用行為的作法，都違反了蘋果對App開發商的隱私權公告規定
。在報導刊出後，蘋果已經要求上述廠商需移除紀錄用戶使用畫面的程式碼，否則就得明
白揭露此事。

蘋果發言人表示，保護用戶隱私是蘋果生態體系的首要任務，App Store審查指導原則要
求所有App對於錄製、登入或任何紀錄用戶行為，都必須取得明顯同意並提供清楚的影像
說明。蘋果已經通知這些App開發商他們違反蘋果的隱私條款及指導原則，表示必要時會
立即採取行動。

一月底Techcrunch揭發臉書Facebook Research VPN違規使用了蘋果企業用測試版App憑證
，隨後Google的Screenwise Meter也被發現有類似情形，兩者都遭到臉書取消憑證處份，
不過事發一天後都獲得復原。


--
expedia, hotels.com都是同一集團, 因其違規及過度蒐集使用者資訊
不知其目的及用途, 避免外洩影響, 建議同時修改帳密及手機雲端儲存帳密

--