UPD2:Er machte einen zweiten Beitrag mit Beweisen und einer Widerlegung der Anschuldigungen von Burger King. Lesen Sie hier .
UPD:Fennikami
Ich habe einen Video-Nachweis erbracht , dass die Dateneingabefelder (einschließlich Bankkarten) nicht ausgeblendet sind. + Das Video wird bei jedem Start gesendet (wie Sie selbst sehen können, indem Sie den Anwendungsverkehr verfolgen).
Daher habe ich eine Widerlegung der offiziellen Antwort von Burger King, dass "persönliche Informationen versteckt sind" und dass eine Stichprobe von 10% der Benutzer angeblich verwendet wird.
Es ist erwähnenswert, dass keines der offiziellen Burger King-Videos (in denen angeblich das Verstecken persönlicher Daten gezeigt wird) das Menü zum Verknüpfen einer Bankkarte nicht enthält.
In diesem Video wird es gezeigt.
Ich möchte auch darauf hinweisen, dass nach der Veröffentlichung der ursprünglichen Untersuchung Hackerangriffe auf meinen Blog begannen (Admin Brute Force, Exploit-Suche, DDoS-Versuch).
Ich bereite einen zweiten Beitrag zu diesem Thema vor.
Bleib dran, mehr Infos in meinem Blog .
Hallo Habr! Ich bin 18 Jahre
alt und
habe in meiner Freizeit verschiedene Bewerbungen ausgewählt. Heute haben meine Hände die beliebte und beliebte Burger King-Anwendung erreicht (die, bei der „Burger ist kostenlos“, „Nadalovo“ und Aktionscodes für Freunde).
Ich starte ihre Anwendung, ich überwache den Verkehr. Und dann finde ich das:
Was ist das? Wenn es keine Ideen gibt, schauen Sie unter den Schnitt.
UPD:3amynoK
Ich würde sagen, sie laufen auf unglaublich dünnem Eis. Ich sehe Tachi - Übergänge zwischen Feldern, aber ich habe in ihren Daten keine Bänder auf der Tastatur gefunden. yadi.sk/d/tjxg2OJ83Z6YB8 Ich habe das Formular erneut eingegeben, 123456 in die Kartennummer eingegeben ... Was ich sehe, ist das Öffnen des Formulars der Karte "BurgerKing.PycardInput", "s": 132000, wo s die Zeit ist, dann habe ich alle TouchEvents davon angesehen Zeit und markierte sie auf dem Bildschirm. Die Aktionswerte waren verwirrt, es gibt "h": 216, dass es eine Tastaturhöhe gibt, und es gibt einige Ereignisse mit "i" in den Zeilen 1, 2, 4. Ich denke, dies ist die Wahl des Datums der Karte bei der Auswahl in der Trommel.
UPD des Habr-Moderators:Wir haben die Teilnehmer der Geschichte kontaktiert und Kommentare erhalten - folgen Sie ihnen in unserem Artikel .
Dies ist eine Anfrage der Anwendung an den Server (oben) mit Informationen wie Version, Telefonmodell, Startzeit und Anzeigeauflösung. Alles scheint in Ordnung zu sein, aber ...
Als Antwort auf das Telefon erhalten Sie Informationen (siehe unten), wie Sie Videos vom Bildschirm aufnehmen können.
Darüber hinaus wird der Parameter MaxVideoLength (maximale Videolänge) als „0“ angegeben, was eine endlose Aufzeichnung bedeutet (während die Anwendung ausgeführt wird).
Das heißt, die Anwendung zeichnet nicht nur den Bildschirm auf, sondern führt ihn kontinuierlich durch und sendet die Aufzeichnung auf die gleiche Weise kontinuierlich an den Server. Mobile Internetnutzer (das sind fast alle) haben diese „Funktion“ bewertet, denke ich.
Die Bildschirmaufnahme wird als regulärer * .mp4-Stream übertragen:
Beachten Sie die * .appsee.com / Upload-Adresse (AppSee ist eine Videometrik für Anwendungen) links und die * .mp4-Datei rechts (Codierungsinformationen im Header, * .mp4 selbst unten).
Nun, da ist eine Kirsche auf dem Kuchen: Der Bildschirm wird aufgezeichnet, selbst wenn Sie Ihre Bankkartendaten in den Antrag eingeben (und dies ist erforderlich, um die Bestellung abzuschließen). Beachten Sie alle Daten.
Und die letzte Kirsche: Nicht nur das Aufzeichnen eines Bildschirms ist eine sehr zweifelhafte Beschäftigung, nicht nur die Entwickler der Burger King-Anwendung, sondern auch verschiedene AppSee-Partner (dh völlig linke Personen mit unbekannten Absichten) haben Zugriff auf die aufgezeichneten Videos und AppSee selbst auch.
Ich möchte Sie daran erinnern, dass das Video auch dann aufgezeichnet wird, wenn Sie Ihre Bankkartendaten eingeben. Und jeder hat Zugang dazu.
Hier ist das Video selbst:
PS: Ja, Sie könnten diesen Beitrag in ähnlicher Form auf einer anderen Seite lesen, aber ein solches Burgerfeuer hat eindeutig einen Platz auf Habré. Ich hoffe, alle und UFO zu verstehen.