La aplicación móvil para iPhone de la aerolínea canadiense Air Canada, así como las de otras cinco plataformas de comercio online como Hollister y Expedia, utilizan una herramienta conocida como Glassbox con la que realizan capturas de pantalla de la actividad de sus usuarios sin pedir consentimiento, y que puede llegar a exponer sus datos de tarjetas de crédito.
Una investigación llevada a cabo por Techcrunch saca a la luz cómo algunas aplicaciones para iPhone de seis grandes empresas como Abercrombie&Fitch, Hollister, Air Canada, Expedia, Singapore Airlines o Hotels.com consiguen monitorizar su actividad a través de la herramienta Glassbox de análisis de experiencia del cliente.
Glassbox, responsable del servicio homónimo, es una compañía que permite a los desarrolladores integrar tecnología de reproducción de sesión en sus aplicaciones. Estas reproducciones permiten a los desarrolladores de aplicaciones grabar la pantalla y reproducirlas para ver cómo interactúan sus usuarios con ella. Cada pulsación y entrada de teclado se registra, se captura y se envía a los desarrolladores.
La investigación de Techcrunch surge a raíz de una entrada publicada por el sitio web The App Analyst donde se muestra que la aplicación para iPhone de Air Canada no oculta correctamente las repeticiones de la sesión hechas por Glassbox cuando se envían.
De esta manera, las aplicaciones que utilizan Glassbox pueden exponer los números de pasaportes y los datos de tarjetas de crédito introducidos por los usuarios durante sus sesiones en el software.
Sin embargo, ninguna de las aplicaciones investigadas informan en sus políticas en la App Store de Apple si graban la pantalla del usuario, vulnerando, por tanto, las normativas de Apple.
Abercrombie&Fitch, y su marca Hollister, y Air Canada han declarado a Techcrunch que Glassbox tiene como único objetivo "la mejora de la experiencia digital de los usuarios", y la aerolínea ha asegurado que su aplicación "no puede hacer capturas de pantallas si esta no está abierta".
Por su parte, un portavoz de Glassbox ha asegurado a Techcrunch que "Glassbox tiene una capacidad única para reconstruir la vista de la aplicación móvil en un formato visual", "pudiendo interactuar solo con la aplicación nativa de nuestros clientes y, técnicamente, no puede romper el límite de la aplicación".