Приложение Starbucks хранит пароли в открытом виде Статьи редакции

Мы как-то писали о том, что приложение сети «Япоша» показывает всем желающим адреса и телефоны заказчиков. Оказалось, что крупные трансконтинентальные сети тоже подвержены подобным проколам — американское приложение Starbucks для iOS, при помощи которого можно искать заведения неподалёку и оплачивать кофе, хранит пользовательские данные в незашифрованном виде.

[caption id="" align="aligncenter" width="1280"] Типичная забегаловка[/caption]

Чтобы получить юзернейм и пароль жертвы, достаточно незаметно подключить телефон к компьютеру и скачать оттуда данные — всё хранится в виде обычного текста. Точно так же приложение сохраняет и данные о перемещениях пользователя.

Сам по себе это не такой уж и страшный прокол — во-первых, обладая такой информацией, можно лишь пропить чей-то счёт в кофейне. Ну, если кто-то купит себе кофе на мои 400 рублей, то ничего особенно опасного в этом нет (однако, могут пострадать те, кто использует везде один и тот же пароль). Во-вторых, для такого «взлома» нужен полный доступ к чужому смартфону — и если ваш телефон оказывается в злых руках, то это в любом случае грозит гораздо более страшными потерями, чем два стакана капуччино.



Руководство сети в курсе, что в их приложении есть такая вот дыра — они даже выпустили обновление, в котором, впрочем, всё остаётся на своих местах.

Приложение не лишено других слабых сторон — платёж происходит путём сканирования экрана с изображённым на нём баркодом, то есть кто-то может тайком его сфотографировать и расплачиваться от вашего имени.

Интересен способ исследования, применённый аналитиком Дэниелем Вудом — тем самым, кто первым обнаружил это вопиющее нарушение приватности. По его словам, на всё про всё требуется от 30 минут до 1 часа, при этом вовсе не обязательно знать код разблокировки айфона. Нужно подключить телефон к компьютеру и найти файл session.clslog, который находится в папке Library/Cache. Именно там хранятся все явки и пароли — можно начинать грабить. Израсходовав все средства на балансе жерты, можно запустить руку в её банковский аккаунт — если в приложении включена функция автопополнения баланса. Но, опять же, если на эти деньги можно лишь кофе покупать, то какой в этом прок мошеннику?

В целом, мораль истории такова: никогда и нигде нельзя хранить важные данные, тем более чужие, в открытом виде. Руководство Starbucks делает скользкие и мутные заявления, по факту не предпринимая никаких полезных действий, хотя на их месте стоило бы исправить всё как можно скорее — пока не пострадал кто-то, кто использует один и тот же пароль и для карты Starbucks, и для своего банковского счёта.
{ "author_name": "Константин Панфилов", "author_type": "self", "tags": ["\u0441\u0442\u0430\u0440\u0431\u0430\u043a\u0441","\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c","starbucks","ios","fail"], "comments": 0, "likes": 12, "favorites": 0, "is_advertisement": false, "subsite_label": "flood", "id": 2737, "is_wide": true, "is_ugc": true, "date": "Thu, 16 Jan 2014 02:35:00 +0400", "is_special": false }
М.Видео-Эльдорадо получила две награды престижной HR-премии «Хрустальная пирамида»
Sports.ru снял документальный фильм про «Зенит»-2008

В центре внимания — «золотое поколение» футбольного клуба, завоевавшее Кубок и Суперкубок УЕФА в 2008 году.

Трейлер фильма «Зенит-2008. Победная песня»
Арт-экология. Уличные тренды и успешные городские проекты

Работы уличных художников, кроме эстетической роли, способны приносить пользу экологии за счет использования современных технологий. На стенах жилых домов уже появляются граффити с поглощающим смог эффектом, а на стволах деревьев – заживляющие рисунки.

Ленд-арт объект "Рогатка желаний" на фестивале ленд-арт в Муслюмово фото: организаторы фестиваля
«Мегафон» заблокировал более 1000 корпоративных сим-карт

Наша организация предоставляет услуги мониторинга транспорта.

Сделай сам: умная камера для наблюдения за питомцами

Обучаем нейросеть на котиках.

Retail Innovation Tech Alliance (RITA) дал старт новому отбору стартапов

Retail Innovation Tech Alliance (RITA) объявляет о шестом отборе стартапов для реализации совместных проектов с крупнейшими ритейл и технологическими корпорациями России и Казахстана.

В Ozon не хотят отменять заказ и возвращать деньги за недоставленный товар при доставке из-за рубежа
Делал дизайн, пока говорил по телефону: история Пола Рэнда, который создал логотипы для IBM и Стива Джобса Статьи редакции

Рисовал антифашистский журнал, работал арт-директором в Esquire и делал рекламу на азбуке Морзе.

Пол Рэнд   monitorbox
Путин объявил «нерабочими» дни с 30 октября по 7 ноября с сохранением зарплаты Статьи редакции

Регионы могут сами установить сроки — начать уже с 23 октября.

null