Давайте сначала с формальным поводом разберёмся. Пользователь Рунета с ником fennikami и навыками программирования решил в свободное время посмотреть на то, как устроено приложение "Бургер Кинга" на iOS. Парню всего 18 лет и он учится программировать. Набирается опыта, смотрит на то, как устроено всё у серьёзных дядей.

Сначала не было ничего криминального, проверив трафик от приложения к серверу, обнаружилась стандартная информация вроде модели телефона, разрешения экрана, времени запуска приложения. А в ответ с сервера прилетает команда: "Записывай видео с экрана"! Но у этой команды есть параметры. Один из которых, ключевой в нашей истории, — MaxVideoLength (максимальная длина видео). Для этого параметра указано значение "ноль". Что означает в нашем случае "пиши всегда и всё, что происходит на экране". А затем это всё отправляется на сервер. Даже через мобильный интернет.

И ладно бы (хотя ничего не ладно) данные отсылались только в "Бургер Кинг". Компания же продвинутая, вот и использует сервис метрики AppSee, в который попадает видео, как вы собственноручно вбиваете данные своей банковской карты. С полными данными, и CVC-код, в том числе. И любые партнёры AppSee, включая самых маргинальных, таким простым способом получили данные вашей кредитки. Заодно записываются прикосновения к экрану и сопоставляются с приложением. Это тоже доступно куче людей.

Теперь к составляющей информационной безопасности. Как вообще такой ужас прошёл модерацию Apple, и что тогда творится на Андроиде, который в разы менее тоталитарен с точки зрения возможностей творить что захочется?!

Ещё раз. Приложение без вашего ведома за вами следит, полностью записывая все ваши действия и воруя у вас финансовую информацию. И, если бы не любознательность обычного парня, мы бы даже не узнали об этом. Самое страшное, что ты можешь быть как пользователь и потребитель сколь угодно технически подкован, использовать все средства защиты, благоразумные и нужные. И всё равно твои данные окажутся у кого попало.

Знал ли "Бургер Кинг", что в его приложение такое встроено? Конечно, знал! Мало того, просил, чтобы приложение собирало больше данных. Ведь компания не сама разработала это. Помогли ребята из "Фабрики лояльности". Боюсь, что к "Бургер Кингу" лояльность теперь несколько упадёт.

Нельзя пройти мимо и юридической стороны вопроса, которая является не вишенкой даже, а всей начинкой у торта. Читаем три пункта пользовательского соглашения:

5.6. Компания вправе передавать права и обязанности по настоящему Соглашению третьим лицам в целях исполнения настоящего Соглашения, без дополнительного согласия Пользователя.

5.1. Пользователь, соглашаясь с настоящим Пользовательским соглашением, предоставляет своё информированное и добровольное согласие на участие в стимулирующих рекламных, маркетинговых и иных мероприятиях, направленных на продвижение услуг Компании, партнёров Компании и иных третьих лиц. Компания вправе от своего имени направлять Пользователю информацию о функционировании Приложения, информационные, рекламные или иные сообщения на адрес электронной почты, номер телефона, указанные Пользователем, а также размещать соответствующую информацию в самом Приложении.

7.1. Компания не даёт никаких гарантий, в частности, относительно работоспособности Приложения, его функциональных возможностей, информационного содержания, доступности, надёжности работы и соответствия потребностям и ожиданиям Пользователя.

Господа, да это просто образец блестящего юридического крючкотворства! В переводе на русский это означает: "Нам плевать, мы будем передавать данные кому хотим, куда хотим и как хотим. И не собираемся за это отвечать". Естественно, не под запись несколько разработчиков и представителей компаний мобильной индустрии подтвердили, что это повсеместная история. Что собирается данных иногда в разы больше, чем нужно. И это никак не контролируется пользователями.

Отрасль срочно нуждается в ремонте. Бесконтрольная передача любых персональных данных должна стать не только незаконной, но и постыдной практикой, за которой следует мгновенное общественное порицание. Нельзя воровать финансовые данные у пользователей. Ни под какими предлогами. Пользователям нужно объяснять, что вы собираете, зачем, куда это идёт и кто к этому имеет доступ. И делать это в удобном для пользователя, а не для вас виде. Не прикрываясь юридическим языком.

Пора брать на себя ответственность. И не только бизнесу, законодателям или чиновникам. Всем! Дальше так продолжаться не может. И да, дорогие коллеги из "Бургер Кинга", заставьте, пожалуйста, переписать подрядчика ваше приложение и объясните, как оно будет работать в будущем. 
/ Мнение автора может не совпадать с позицией редакции /