Autor: Batou | 21.1.2014 |
Aplikace společnosti Starbucks je děravá. Zranitelnost se týká v nezabezpečeném ukládání uživatelských dat. S tímto odhalením přišel hacker a bezpečnostní analytik Daniel Wood.
Odhalil, že si aplikace ukládá uživatelská data (včetně těch z GPS) v prostém textu v do následujícího souboru:
/Library/Caches/com.crashlytics.data/com.starbucks.mystarbucks/session.clslog
Pokud by tedy útočník znal toto umístění a měl fyzický přístup k zařízení, mohl by k uživatelským datům přistupovat. Wood zveřejnil tzv. full disclosure, ve kterém uvádí i kód session.clslog pocházející z mobilní aplikace a obsahující OAuth token:
<div class="block_login"> <form action="/OAuth/sign-in" class="siren" id="accountForm" method="post"> <fieldset class="login_position"> <legend><span class="group-header">I have a Starbucks account.</span></legend> [...snip...] <li> <label for="Account_UserName" class="">Username <span class='req'>*</span></label> <span class="x"> <input class="field text medium" id="Account_UserName" maxlength="200" name="Account.UserName" tabindex="0" type="text" value="CLEARTEXT" /> </span> </li> <li> <label for="Account_PassWord" class="">Password <span class='req'>*</span></label> <span class="x"> <input class="field text medium" id="Account_PassWord" maxlength="200" name="Account.PassWord" tabindex="0" type="password" value="CLEARTEXT" /> </span> </li> 43440 $ -[AccountManager forgotPasswordEmail:withUserName:] line 1609 $ BODY STRING:[ {"emailAddress":"CLEARTEXT","userName":"CLEARTEXT"} ]
Ve svém prohlášení (kde hned v první větě uvádí, jak je pro ně bezpečnost uživatelských dat nesmírně důležitá) datovaného k 16. lednu společnost slibuje záplatu aplikace. Ještě ten den večer tento příspěvek updatovali s tím, že je již hotová a byly přidány „extra bezpečnostní vrstvy“. Doporučují rychlou aktualizaci a změnu hesel.