Recentemente ho trovato un bug su un'app mobile che pretende di proteggere la privacy dei propri utenti, tuttavia dopo aver collegato il mio telefono con burp e installato un certificato ho notato che questa app stava inviando il nome e il cognome completi di un utente + qualche altro informazioni di identificazione personale (profili di altri utenti, non solo mie), tuttavia questo non viene mostrato direttamente all'utente.
Volevo contattare il venditore dell'app, tuttavia dopo aver visualizzato la loro pagina legale ho i miei dubbi come affermano quanto segue:
"reverse engineering of 'the software' is strictly prohibited and may result in legal action"
Ho escluso il nome dell'app / azienda in questione per ovvi motivi
Attualmente sono in conflitto tra divulgare responsabilmente questo bug a loro in modo che possano risolvere il problema o semplicemente non farlo affatto poiché non sono del tutto sicuro se sniffing il mio proprio traffico tra l'app e il server potrebbe essere considerato 'reverse engineering' e io semplicemente non voglio essere denunciato.
Qualcuno conosce la legalità di fare questo? È considerato "reverse engineering"?