Data zákazníků Starbucks jsou v ohrožení - jejich aplikace pro iPhone je děravá a hesla nešifruje

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: Batou
Datum: 21.1.2014
Hodnocení/Hlasovalo: 0/0

Problém se týká aplikace STARTBUCKS v2.6.1, pomocí které zákazníci platí za výrobky této oblíbené společnosti. Využívá jí 10 milionů lidí.

Aplikace společnosti Starbucks je děravá. Zranitelnost se týká v nezabezpečeném ukládání uživatelských dat. S tímto odhalením přišel hacker a bezpečnostní analytik Daniel Wood.

Odhalil, že si aplikace ukládá uživatelská data (včetně těch z GPS) v prostém textu v do následujícího souboru:

/Library/Caches/com.crashlytics.data/com.starbucks.mystarbucks/session.clslog

Pokud by tedy útočník znal toto umístění a měl fyzický přístup k zařízení, mohl by k uživatelským datům přistupovat. Wood zveřejnil tzv. full disclosure, ve kterém uvádí i kód session.clslog pocházející z mobilní aplikace a obsahující OAuth token:

<div class="block_login">
<form action="/OAuth/sign-in" class="siren" id="accountForm" method="post">
     <fieldset class="login_position">
                <legend><span class="group-header">I have a Starbucks account.</span></legend>

                [...snip...]

        <li>
                <label for="Account_UserName" class="">Username <span class='req'>*</span></label>
                <span class="x">
                        <input class="field text medium" id="Account_UserName" maxlength="200"        
name="Account.UserName" tabindex="0" type="text" value="CLEARTEXT" />
                        </span>
        </li>
        <li>
               <label for="Account_PassWord" class="">Password <span class='req'>*</span></label>
               <span class="x">
                        <input class="field text medium" id="Account_PassWord" maxlength="200"         
name="Account.PassWord" tabindex="0" type="password" value="CLEARTEXT" />
              </span>
       </li>
43440 $ -[AccountManager forgotPasswordEmail:withUserName:] line 1609 $ BODY STRING:[ 
{"emailAddress":"CLEARTEXT","userName":"CLEARTEXT"} ]
        

Ve svém prohlášení (kde hned v první větě uvádí, jak je pro ně bezpečnost uživatelských dat nesmírně důležitá) datovaného k 16. lednu společnost slibuje záplatu aplikace. Ještě ten den večer tento příspěvek updatovali s tím, že je již hotová a byly přidány „extra bezpečnostní vrstvy“. Doporučují rychlou aktualizaci a změnu hesel.