21 января 2014

«Старбакс» починил свое приложение

Безопасность Новости

Не так давно стало известно о том, что приложение Starbucks, созданное известной сетью кофеен для операционной системы iOS, могло запросто делиться направо и налево персональными данными всех скачавших программу пользователей. К чести Starbucks (особенно учитывая, что это не технологическая компания), закрывающее брешь обновление вышло довольно оперативно.

Starbucks реагирует на уязвимость в приложении

Конечно, это можно объяснить тем, что компания небедная и денег в подобных случаях не жалеет. Но тем не менее о существовании дыры в защите приложения стало известно где-то в декабре, а исправленная версия вышла уже в январе — в принципе это очень хороший результат. Ведь очень часто бывает так, что выпуску фикса к какому-нибудь ПО предшествуют многие месяцы, уходящие на всевозможные изучения, заключения, согласования, придирки и формальности.

Так что, если вы загружали приложение Starbucks для любого из своих ай-девайсов, следует немедленно поставить обновление, которое уже доступно в App Store. На всякий случай уточню: уязвимость присутствовала в версии 2.6.1, а в следующей, 2.6.2, доступной с 16 января для загрузки, уже исправлена. Ну а тех, кто обновиться не желает, предупреждаем: ваши имя, адрес, идентификационный номер устройства, геолокационные данные и даже пароль — все это может быть доступно злоумышленникам прямо сейчас.

Все это добро, как оказалось, приложение сохраняло в виде готового к употреблению незашифрованного текста в log-файлах, которые генерировались усилиями отдельного модуля, встроенного бостонской компанией Crashlytics для повышения надежности работы программы. Впрочем, обнаруживший уязвимость исследователь Дэнил Вуд (Daniel Wood) заявил, что в этом безобразии виновата сама Starbucks, поскольку прогнозировала при разработке проверенные методы защиты приложения. В частности, он сказал, что компании следовало фильтровать и подчищать исходящие данные, «не позволяя им сохраняться в log-файлах Crashlytics в виде читабельного текста или в каком-либо виде вообще».

Приложение Starbucks хранило пароли и другие пользовательские данные в открытом виде.

Компания Crashlytics производит решения, позволяющие разработчикам отслеживать (и впоследствии исправлять) причины «падения» приложений. Очевидно, «Старбакс» воспользовалась данным модулем, но, вероятно, подключили его не совсем корректно, во всяком случае, отчасти. По этому поводу Уэйн Чанг (Wayne Chang), сооснователь Crashlytics, заявил, что проблема связана с одной из возможностей их программы, позволяющей сохранять данные в виде обычного текста, и что это «опциональная функция, которую разработчики могут использовать для сбора дополнительной информации». Также он подчеркнул, что Crashlytics не собирает пользовательские логины и пароли автоматически.

Ну а для тех, кто вообще не в курсе, о каком приложении была речь, сообщаем: программа Starbucks позволяет привязать к смартфону или планшету карту клиента. В результате у вас в руках появляется мобильный кошелек, которым можно расплачиваться за кофе в любой кофейне сети по всему миру. Очень удобно. А теперь еще и безопасно :)