iPhone Apps 偷录屏幕输入资讯　用户信用卡护照资料有曝光危机？

iPhone Apps 竟然偷录屏幕输入！科技网站 TechCrunch 最近的调查，发现 iOS 上不少受欢迎的 Apps，原来一直偷录用户在屏幕上的输入，不论是一剔一点，甚至连信用卡号码等的输入，都可以在不用问准用户的情况下录取。

今次被发现偷录屏幕输入的 iPhone Apps，并非那类挂羊头卖狗肉盗取用户资料的“钓鱼”Apps，而是一些信誉不俗的大机构，透过一间“用户体验分析机构”Glassbox，利用一种名为 session replay 的技术，在背景录取 iOS 用户在屏幕上的输入，分析机构可以透过这些记录及截图，重建用户在使用指定 Apps 时候的各种习惯。

调查发现，好像时装品牌 Abercrombie & Fitch、Hollister；航空公司 Air Canada、Singapore Airlines；旅游公司 Expedia 及 Hotels.com 等，同样有使用 Glassbox 所提供的 session replay 分析服务，去录取自己用户使用 Apps 时的习惯。不过 TechCrunch 的调查同时发现，上述所有机构当中，未有一间在用户条款中，向用户清楚列明，会录取屏幕输入作分析用途。

更严重的问题是，部分使用 session reply 的机构，并未有为用户的重要资讯进行加密，TechCrunch 就在截取 Air Canada 记录的资讯中发现，session replay 并未有适当遮盖用户的信用卡或者护照、地址等私隐资讯，令任何能够获取 session replay 资讯的 Air Canada 员工，或者成功截取资讯的不法份子，都可以轻易知道用户的重要个人资料；而 Air Canada 更在不久之前，就发生了资讯失窃，令接近 2 万位用户的个人资讯流出。

除了 Glassbox 之外，市场上尚有为数不少，同样提供“用户体验分析”的机构，好像 Appsee、UXCam等。而 Apple 在得悉有关情况后，已经勒令开发者在少于一日内，必须移除有关录取用户屏幕输入的功能，并必须在让用户充份了解及同意的情况下，才可以继续有关录取分析的行为，否则会将 Apps 从 App Store 中下架。目前来说用户并没有什么可以做，假如有使用上述 Apps 只能希望自己没中招吧……

补充：现阶段用户可以说是非常被动，被偷录的资料已经在各相关机构的系统当中，相信在司法机构介入前，短期内大概无法改变这个事实。而若果大家有在以上 Apps 使用自己信用卡一类敏感资料，特别是 Air Canada 的用户，可能要留意自己的资料是否在 2 万份外泄用户资料当中，必要时可能要联络发卡公司，更改信用卡号码以保安全。

【周五心意运动】您捐一封$50利是，已可为基层送上温饱，01心意呼吁您支持【香港青年协会】 ，每$50即可制作5碗爱心汤和心意礼物。
https://heart.hk01.com/zh/project/10095