Appthority的研究人员在周一发布的报告中阐述了AppSee和TestFairy提供的SDK以在移动应用程序崩溃时捕获用户敏感数据，从而将私有数据暴露给外部第三方。他们警告说，使用依赖开发工具SDK的应用程序的用户需要知道他们的私有数据的片段可能在公司环境之外共享。 [出自:jiwo.org]

AppSee和TestFairy SDK是开发工具，旨在让应用程序制造商在应用程序崩溃之前了解手机的确切状态。当应用程序崩溃时，两个工具都会截取移动设备的屏幕截图并将其发送给应用程序开发人员进行分析。在某些情况下，他们还会收集最终用户行为数据，例如用户手势和热图，这些数据与使用SDK的特定应用程序相关联。

Appthority的研究科学家Su Mon Kywe认为，这为企业移动环境中的新漏洞利用打开了大门，因为第三方越来越多地出于调试目的记录移动屏幕并将它们发送回外部服务器，提高了信用卡数据和密码等敏感信息被窃取的概率。她还指出，AppSee和TestFairy与应用程序开发人员合作，允许用户查看Microsoft Word，Excel，PowerPoint文件和Adobe PDF。所以在这种情况下，一旦应用程序崩溃，公司色私人数据的暴露可能性更大。

TestFairy的首席执行官Yair Baron回应，他的公司为移动应用开发团队提供与崩溃相关的视频和仅使用其SDK的应用程序的屏幕截图。“要明确的是，我们不会捕获有关任何其他应用程序的任何信息，我们只是帮助开发人员了解崩溃前发生的事情，以便他们能够更快地修复Bug。TestFairy SDK没有打开任何文件的技术能力。另一方面，AppSee可以打开某些文档。AppSee是应用程序中内部的一个库，当用户在移动设备上下载或访问这些文件时，应用程序（如AutoCAD）可以打开Word、Excel、PowerPoint和PDF，当应用程序（如AutoCAD）包含用于调试或分析目的的AppSee SDK时，AppSee有权访问这些文档，或者至少在用户打开这些文档时截图。”

Appthority指出了一些未经用户同意无意中与第三方共享移动数据的事件。7月，东北大学(Northeastern University)和加州大学圣巴巴拉分校(University of California, Santa Barbara)的研究人员发现了一家快餐公司的应用程序GoPuff，该应用程序捕获了包含邮政编码信息的交互截图。

去年，医疗保健提供商MDLive面临一项由一名女性提起的诉讼，该女性声称MDLive移动应用程序通过TestFairy SDK共享最终用户的敏感健康信息。根据诉讼，屏幕截图收集了相关信息，其中包括健康信息，如健康状况，过敏，行为健康史，近期医疗程序和家庭病史。

诉状指出：“患者向MDLive提供医疗信息以获得医疗服务，并合理地期望MDLive将使用适当的安全措施，包括加密和限制权限，将患者的医疗信息传输给治疗医生。与这些期望相反，MDLive未能充分限制对患者医疗信息的访问，而是向其员工，代理商和第三方提供不必要的广泛权限。“

Baron说，TestFairy收集的数据从未发送给“未知的第三方”。相反，数据被发送到只有应用开发者才能访问的私人云空间：“重要的是，客户不会将数据发送到未知的第三方。数据被发送到开发人员的安全私人云空间。“

Appthority建议应从企业移动环境中删除不兼容的应用程序。Kywe说:“此外……企业安全团队应该格外关注这类能够访问其他企业数据的应用，比如地址簿和日历信息。”Appthority说有大约1350个Android和大约4000个iOS应用程序在企业设备上使用屏幕录音功能;大约有200个Android和180个ios应用程序使用了TestFairy提供的屏幕捕捉功能。