Інформаційна безпекаДизайн

Burger King і таємна запис екрану вашого телефону

UPD2:
Зробив другий пост з доказами і спростуванням заяв Burger King. Читати тут.
UPD:
fennikami
Я надав відео-доказ того, що поля вводу даних (у тому числі банківських карт) не ховаються + відео відправляється кожен раз при запуску (в чому ви самі можете переконатися, відстеживши трафік програми).
Таким чином я маю спростування офіційної відповіді Burger King про те, що «особиста інформація прихована» і того, що нібито використовується вибірка на 10% користувачів.

Варто відзначити, що ні в одному з офіційних відео Burger King (де вони нібито демонструють приховування особистих даних) не показано меню прив’язки банківської карти.
У цьому відео воно показано.

Також хочу зазначити, що після публікації оргинального розслідування — на мій блог почалися хакерські атаки (брутфорс адмінки, пошук експлойтів, спроба DDoS).

Я готую другий пост на цю тему.
Stay tuned, більше інформації — в моєму блозі.

Привіт, Хабр! Мені 18 і я бородатий у вільний час колупаю різні додатки. Сьогодні мої руки дійшли до розпіареного і популярного додатка Burger King (того самого, де «бургер — безкоштовно», «наедалово» і промо-кодів для друзів).

Запускаю їх додаток, спостерігаю за трафіком. І тут бачу це:


Що це таке? Якщо немає ідей, дивіться під катом.

UPD:
3amynoK
Я б сказав, що вони ходять по офігенно тонкому льоду. Я бачу тачі — переходи між полями, але тапов по клавіатурі я не знайшов у їхніх даних. yadi.sk/d/tjxg2OJ83Z6YB8 Я знову зайшов на форму, увів в номері карти 123456… Що я бачу так це відкриття форми картки «BurgerKing.PYCardInput»,«s»:132000 де s це час, потім дивився всі тачі TouchEvents з цього часу і відзначив їх на скріні. Actions значення збентежили, там є «h»:216 що є висота клавіатури і там якісь події з «i» поспіль 1, 2, 4. Я думаю це вибір дати терміну карти при виборі в барабані.
UPD модератора Хабра:
Ми зв’язалися з учасниками історії і отримали коментарі — стежте за ними в нашій статті.
А це запит від програми до сервера (зверху) з інформацією начебто його версії, моделі телефону, часу запуску, дозвіл дисплея. Начебто все нормально, але…

У відповідь телефону приходить інформація (знизу) про те, як записувати відео з екрану.

Причому, параметр MaxVideoLength (максимальна довжина відео) зазначений як «0», що значить — нескінченна запис (поки додаток запущено).

Тобто — додаток не просто записує екран, а робить це безперервно, і рівно таким же чином безперервно відсилає запис на сервер. Користувачі мобільного інтернету (тобто майже все) таку «фічу» оцінили, думаю.

Запис екрану передається як звичайний *.mp4-потік:

Зверніть увагу на адресу *.appsee.com/upload (AppSee — це відео-метрика для додатків) зліва і сам файл *.mp4 праворуч (у заголовку інформація про кодування, трохи нижче — сам *.mp4).

Ну і вишенька на торті: екран записується навіть тоді, коли Ви вводите дані своєї банківської карти в додатку (і це необхідно для здійснення замовлення). Зауважте, всі дані.

І фінальна вишенька: мало того, що записувати екран — вельми сумнівне заняття, так ще до записаним відео мають доступ не тільки розробники програми Burger King, але і різні партнери AppSee (тобто — абсолютно ліві люди з невідомими намірами), та й сам AppSee теж.

Нагадаю — відео записується навіть тоді, коли ви вказуєте дані своєї банківської карти. І до нього мають доступ хто попало.

Ось так виглядає саме відео:

P. S.: так-так, ви могли читати цей пост у схожому вигляді на іншому сайті, але такого бургер-вогню місце на Хабре. Сподіваюся на розуміння всіх і НЛО.

Related Articles

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Close