De apps maken gebruik van de "session replay" technologie van Glassbox Digital, een bedrijf dat zich bezighoudt met analyseren hoe gebruikers bepaalde websites, diensten en apps gebruiken. Deze technologie neemt alles op wat er op je scherm gebeurt en kan worden geïntegreerd in bestaande apps. Techcrunch ontdekte dat verschillende populaire apps als Air Canada, Hollister, Expedia, Abercrombie & Fitch, Hotels.com en Singapore Airlines deze technologie gebruiken.

De ontwikkelaars van deze apps gebruiken de vergaarde beelden om te kijken hoe gebruikers de software gebruiken. Het grote nadeel is echter dat bij een groot deel van deze apps wordt gewerkt met gevoelige informatie. Glassbox zou deze gevoelige velden moeten maskeren, maar dat gebeurt niet altijd. Hierdoor zijn zeer gevoelige gegevens als creditcardgegevens, paspoortgegevens en andere gevoelige informatie terecht gekomen in de replay-sessies.

Het allerergste is nog dat Air Canada vorig jaar is gehackt waardoor er waarschijnlijk 20.000 profielen zijn benaderd.

"Dit geeft Air Canada medewerkers - en iedereen die toegang heeft tot de screenshot database - toegang tot onversleutelde creditcard- en wachtwoord informatie," aldus de App Analyst, een beveiligingsonderzoeker die de software voor Techcrunch controleerde.

De App Analyst meldt verder dat met een man-in-the-middle-aanval het erg makkelijk was om de doorgestuurde opgenomen data te onderscheppen. "Aangezien deze gegevens vaak teruggestuurd worden naar Glassbox servers zou het mij niks verbazen zijn als er al gevallen waren waarin ze gevoelige bankgegevens en wachtwoorden vastleggen."

Op de volgende pagina: de reactie van Glassbox en appbouwers

Het allerergste is nog dat geen van de apps gebruikers op de hoogte houdt van deze praktijken en dat er zelfs met geen woord over wordt gerept in de privacyvoorwaarden. Glassbox zegt dat bedrijven niet dwingt het gebruik van de sessie-data op te nemen in de privacyvoorwaarden en dat de technologie niets dat buiten de app gebeurt kan opnemen, zelfs het toetsenbord niet.

"Glassbox heeft een uniek vermogen om de mobiele app in een visueel formaat te reconstrueren, dit gaat op een andere manier dan analytics. Glassbox SDK kan alleen interactie aangaan vanuit de app van onze klanten en kan niet buiten de app komen. Zelfs het toetsenbord kan niet worden bekeken," zegt een woordvoerder van Glassbox aan Techcrunch.

De andere bedrijven die gebruik maken van de technologie zeggen allemaal dat zij deze technologie gebruiken om gebruikers uiteindelijk een betere ervaring te kunnen geven. "Glassbox helpt een naadloze winkelervaring te ondersteunen, zodat we eventuele problemen die klanten in hun digitale ervaring zouden kunnen tegenkomen, kunnen identificeren en aanpakken," aldus een woordvoerder van Abercrombie.

"Air Canada gebruikt de door de klant verstrekte informatie om ervoor te zorgen dat we hun reisbehoeften kunnen ondersteunen en om ervoor te zorgen dat we eventuele problemen die van invloed kunnen zijn op hun reizen kunnen oplossen. Dit omvat gebruikersinformatie die wordt ingevoerd in, en verzameld op, de Air Canada mobiele app. Air Canada kan en kan echter geen telefoonschermen buiten de Air Canada app vastleggen," zegt Air Canada.

Hollister, Expedia, Hotels.com en Singapore Airlines hebben nog niet gereageerd.