TechCrunch พบหลายบริษัทชั้นนำอย่าง Air Canada, Hollister และ Expedia ลอบบันทึกข้อมูล การใช้งานสมาร์ทโฟนของผู้ใช้ โดยไม่แจ้งให้ทราบล่วงหน้า ผ่านการทำงานของแอพพลิเคชั่นในระบบ iOS ของ iPhone ผ่านเทคโนโลยี ที่เรียกว่า “session replay”

ตามปกติ ทุกแอพพลิเคชั่นจะเก็บข้อมูลของผู้ใช้ในทางใดทางหนึ่งเป็นเรื่องปกติ แต่เร็วๆนี้ TechCrunch ค้นพบว่าแอพหลายตัวใน iPhone ของบริษัทดังๆ อาทิ Abercrombie & Fitch (แฟชั่น) , Hotels.com (จองที่พัก) และ Singapore Airlines (สายการบิน) ได้อนุญาตให้ Glassbox บริษัทวิเคราะห์ประสบการณ์ใช้งานของลูกค้า ใช้เทคโนโลยีดังกล่าว เพื่อบันทึกหน้าจอของผู้ใช้ และส่งกลับมายังนักพัฒนา เพื่อวิเคราะห์ UX (ประสบการณ์การใช้งาน) ของลูกค้า ว่ามีปฏิสัมพันธ์กับตัวแอพอย่างไร และนำกลับมาพัฒนาการใช้งานให้ดีขึ้น

อย่างไรก็ตาม เทคโนโลยีดังกล่าวก็ยังมีช่องโหว่อยู่ เมื่อThe App Analyst บล็อกของผู้เชี่ยวชาญด้านสมาร์ทโฟน และอุปกรณ์อิเล็กทรอนิกส์ ทดลองใช้เครื่องมือชื่อ “Charles Proxy” ตรวจสอบแอพที่ว่าจ้างให้ Glassbox รวบรวมข้อมูลด้วยวิธีนี้ พบว่าข้อมูลผู้ใข้ที่มีการบันทึก จะถูกส่งกลับไปยังบริษัทผู้พัฒนาแอพ หรือระบบคลาวด์ของ Glassbox ซึ่งในบางกรณี เกิดความเสี่ยงที่จะทำให้ข้อมูลส่วนตัวหลุดออกไปได้ หากมีการปกป้องไม่ดีพอ

หนึ่งในตัวอย่างที่ถูกมองว่าเป็นปัญหา คือแอพของ Air Canada ที่ข้อมูลสำคัญอย่าง หมายเลขพาสปอร์ตและข้อมูลบัตรเครดิต สามารถเข้าถึงได้โดยไม่มีการเข้ารหัส และเมื่อเร็วๆนี้ ทาง Air Canada ก็เพิ่งยอมรับเอง ว่าข้อมูลผู้บริโภคหลุดไปกว่า 20,000 โปรไฟล์

“เทคโนโลยีนี้ทำให้พนักงานของ Air Canada เข้าถึงฐานข้อมูลภาพหน้าจอได้ เพื่อดูข้อมูลบัตรเครดิตและรหัสผ่านบางอย่าง” นักวิเคราะห์ระบุ

ทาง TechCrunch ยังตั้งข้อสังเกตว่า แม้แอพต่างๆใน App Store จะต้องทำตามกฎของ Apple แต่ในกรณีนี้ ไม่มีแอพใดเลยที่แจ้งเรื่องการบันทึกหน้าจอของผู้ใช้เอาไว้ในนโยบายความเป็นส่วนตัวผู้ใช้ เนื่องจาก Glassbox ในฐานะบุคคลที่สาม ไม่จำเป็นต้องขออนุญาตจากทาง Apple นั่นเอง ทำให้นี่อาจเป็นช่องโหว่ใหญ่ของการหลุดรอดของข้อมูลได้

 

AHEAD TAKEAWAY

Glassbox คือใคร?

Glassbox คือสตาร์ทอัพจากอิสราเอล ที่ให้บริการด้านวิเคราะห์ข้อมูลผู้บริโภค โดยเน้นหนักทางด้านการบันทึกและวิเคราะห์ประสบการณ์การใช้งานของผู้บริโภค (UX) ทั้งจากเว็บไซต์ และโมบายล์ดีไวซ์ต่างๆ ด้วยเทคโนโลยี “session replay” ซึ่งทางบริษัทเคยทวีตโฆษณาคุณสมบัติไว้ด้วย

“ลองคิดดูถ้าว่าเว็บไซต์หรือแอพสมาร์ทโฟนของคุณ สามารถมองเห็นสิ่งที่ลูกค้าของคุณทำแบบเรียลไทม์ และค้นหาว่าทำไมพวกเขาถึงทำ”

 

Session Replay คืออะไร?

เป็นสคริปต์รูปแบบหนึ่งบนเว็บไซต์/แอพพลิเคชั่น ที่สามารถเล่นซ้ำการเข้าชมเว็บไซต์หรือใช้งานแอพพลิเคชั่น ซึ่งสามารถบันทึกได้ทั้งมุมมองของผู้ใช้ (สิ่งที่ปรากฎบนเบราว์เซอร์หรือหน้าจอ) อินพุต (ข้อมูลที่พิมพ์บนคีย์บอร์ด หรือสิ่งที่ใช้เมาส์คลิก) จุดประสงค์หลักๆในการนำมาใช้ คือเพื่อรวบรวมข้อมูลให้นักพัฒนานำไปปรับปรุงประสบการณ์ของผู้ใช้ และระบุปัญหาในการใช้งานเว็บไซต์/แอพ

นอกจากนี้ ยังมีการนำมาประยุกต์ใช้เพื่อศึกษาการใช้งานเว็บไซต์และพฤติกรรมของลูกค้า การวิเคราะห์พฤติกรรมฉ้อโกงต่างๆบนเว็บไซต์ หรือช่วยฝ่ายบริการลูกค้าตรวจสอบย้อนหลังว่าลูกค้าได้คลิกหรือพิมพ์อะไรไปบ้าง ระหว่างการใช้งานเว็บไซต์

ดูตัวอย่างการทำงานของ session replay ได้ ที่นี่

นิตยสาร WIRED ยังเผยอีกด้วยว่าซอฟต์แวร์ประเภท session replay บางตัวนั้น เก็บข้อมูลผู้ใช้ ถึงระดับ “สิ่งที่เราพิมพ์ลงในกล่องข้อความไว้ แต่ยังไม่ได้กดปุ่มส่งออกไป” ด้วยซ้ำ หรือหากพูดให้เห็นภาพชัดเจนที่สุด ก็คือเหมือนบริษัทเหล่านั้นส่งคนมายืนอยู่ข้างหลังเรา เพื่อสังเกตดูว่าเรานั่งดูอะไร และพิมพ์อะไรไปบ้างนั่นเอง

 

จับได้ แต่ไล่ไม่ทัน

หลังจากตรวจสอบพบ ในรายงานฉบับเดียวกัน TechCrunch ได้ติดต่อไปยังบริษัทเหล่านี้ เพื่อขอคำชี้แจงถึงนโยบายความเป็นส่วนตัวของแอพ ว่าอนุญาตให้ทาง Glassbox เก็บข้อมูลผู้ใช้ผ่านสคริปต์ตัวนี้หรือไม่

Abercrombie ตอบกลับโดยระบุเพียงว่า Glassbox “ช่วยสนับสนุนประสบการณ์การช็อปปิ้งที่ไร้รอยต่อ ช่วยให้เราชี้ชัดและแก้ไขปัญหาที่ลูกค้าอาจเจอในประสบการณ์การใช้งาน” แต่ไม่ได้กล่าวถึงการฝังสคริปต์ session replay ลงไปเลย

ด้าน Air Canada ก็ตอบกลับแค่ว่า เพื่อเช็กว่าบริษัทฯจะพร้อมรับความต้องการในการเดินทางของลูกค้า และสามารถแก้ไขปัญหาใดๆ ที่จะส่งผลกระทบต่อการเดินทาง พร้อมยืนยันว่าไม่สามารถเก็บข้อมูลอื่นๆที่นอกเหนือจากแอพ Air Canada ได้

 

ผู้บริโภคควรทำไง?

แน่นอนว่าบริษัทฯเหล่านี้ ไม่น่าจะมีเจตนานำข้อมูลผู้บริโภคเช่นบัตรเครดิตหรือเลขพาสปอร์ตไปใช้ เพื่อหาประโยชน์

แต่ประเด็นสำคัญคือการไม่ระบุว่ามีการเก็บข้อมูลด้วยวิธีนี้ ในนโยบายความเป็นส่วนตัวผู้ใช้ ก็ไม่ต่างอะไรกับอีกหลายๆกรณีที่ “บอกแต่บอกไม่หมด”

นักวิเคราะห์ของ The App Analyst เสนอแนะว่าผู้ใช้ควรแสดงท่าทีที่จริงจังมากขึ้น ในประเด็นการใช้ข้อมูลของตัวเอง โดยที่ขั้นตอนแรกคือการ “ให้บริษัทเปิดเผยข้อมูลอย่างตรงไปตรงมา ว่าพวกเขาได้รวบรวมข้อมูลผู้ใช้อย่างไรและแบ่งปันให้ใคร”

ขณะที่ตัวผู้บริโภคเองก็สามารถตรวจสอบลิสต์ของเว็บไซต์ต่างๆที่ใช้สคริปต์เหล่านี้ได้ด้วยตัวเอง ที่นี่ เพื่อตัดสินใจด้วยตัวเองว่าจะคลิกเข้าไปใช้หรือไม่

หรืออีกวิธีคือการลง add-on ต่างๆเพื่อบล็อกการทำงานของสคริปต์เหล่านี้ เช่น  NoScript, uBlock Origin หรือ uMatrix แล้วเลือกว่าจะบล็อกสคริปต์ทั้งหมด หรือเลือกบล็อกเฉพาะ session replay

 

เรียบเรียงจาก
Many popular iPhone apps secretly record your screen without asking

THE DARK SIDE OF ‘REPLAY SESSIONS’ THAT RECORD YOUR EVERY MOVE ONLINE

AHEAD ASIA นวัตกรรม ล้ำหน้า