UPD2:Hizo una segunda publicación con evidencia y una refutación de las declaraciones de Burger King. Lee aquí
UPD:fennikami
Proporcioné una prueba de video de que los campos de entrada de datos (incluidas las tarjetas bancarias) no están ocultos + el video se envía cada vez que comienza (como usted mismo puede ver al rastrear el tráfico de la aplicación).
Por lo tanto, tengo una refutación de la respuesta oficial de Burger King de que "la información personal está oculta" y que supuestamente se utiliza una muestra del 10% de los usuarios.
Vale la pena señalar que ninguno de los videos oficiales de Burger King (donde supuestamente muestran la ocultación de datos personales) no muestra el menú para vincular una tarjeta bancaria.
En este video se muestra.
También quiero señalar que después de la publicación de la investigación original, los ataques de piratas informáticos comenzaron en mi blog (fuerza bruta administrativa, búsqueda de exploits, intento de DDoS).
Estoy preparando una segunda publicación sobre este tema.
Estén atentos, más información en mi blog .
Hola Habr! Tengo 18 años y
barbudo en mi tiempo libre seleccionando diferentes aplicaciones. Hoy, mis manos han llegado a la popular y popular aplicación Burger King (en la que "hamburguesa es gratis", "nadalovo" y códigos promocionales para amigos).
Lanzo su aplicación, monitorizo el tráfico. Y luego encuentro esto:
Que es esto Si no hay ideas, mire debajo del corte.
UPD:3amynoK
Yo diría que caminan sobre hielo increíblemente delgado. Veo tachi: transiciones entre campos, pero no encontré cintas en el teclado en sus datos. yadi.sk/d/tjxg2OJ83Z6YB8 Volví a entrar en el formulario, ingresé 123456 en el número de tarjeta ... Lo que veo es la apertura del formulario de la tarjeta "BurgerKing.PYCardInput", "s": 132000 donde s es el momento, luego miré todos los TouchEvents de este tiempo y los marcó en la pantalla. Los valores de las acciones se confundieron, hay "h": 216 que hay una altura de teclado y hay algunos eventos con "i" en una fila 1, 2, 4. Creo que esta es la elección de la fecha del término de la tarjeta al elegir en el tambor.
UPD del moderador de Habr:Nos contactamos con los participantes de la historia y recibimos comentarios; sígalos en nuestro artículo .
Y esta es una solicitud de la aplicación al servidor (arriba) con información como su versión, modelo de teléfono, hora de inicio, resolución de pantalla. Todo parece estar bien, pero ...
En respuesta al teléfono, viene información (a continuación) sobre cómo grabar video desde la pantalla.
Además, el parámetro MaxVideoLength (duración máxima del video) se especifica como "0", lo que significa una grabación sin fin (mientras la aplicación se está ejecutando).
Es decir, la aplicación no solo graba la pantalla, sino que lo hace continuamente, y de la misma manera envía continuamente la grabación al servidor. Los usuarios de Internet móvil (es decir, casi todos) calificaron esta "característica", creo.
La grabación de pantalla se transmite como una secuencia * .mp4 normal:
Preste atención a la dirección * .appsee.com / upload (AppSee es una métrica de video para aplicaciones) a la izquierda y al archivo * .mp4 a la derecha (información de codificación en el encabezado, * .mp4 a continuación).
Bueno, hay una guinda al pastel: la pantalla se graba incluso cuando ingresa los datos de su tarjeta bancaria en la aplicación (y esto es necesario para completar el pedido). Observe todos los datos.
Y la cereza final: no solo grabar una pantalla es una ocupación muy dudosa, no solo los desarrolladores de la aplicación Burger King, sino también varios socios de AppSee (es decir, personas completamente izquierdistas con intenciones desconocidas) tienen acceso al video grabado, y AppSee en sí también
Permítame recordarle: el video se graba incluso cuando ingresa los detalles de su tarjeta bancaria. Y cualquiera tiene acceso a él.
Aquí está el video en sí:
PD: sí, podrías leer esta publicación de forma similar en otro sitio, pero ese fuego de hamburguesas claramente tiene un lugar en Habré. Espero entender a todos y UFO.