UPD2:Il a fait un deuxième post avec des preuves et une réfutation des allégations de Burger King. Lisez ici .
UPD:fennikami
J'ai fourni une preuve vidéo que les champs de saisie de données (y compris les cartes bancaires) ne sont pas masqués + la vidéo est envoyée à chaque démarrage (comme vous pouvez le constater en suivant le trafic de l'application).
Ainsi, j'ai une réfutation de la réponse officielle de Burger King selon laquelle «les informations personnelles sont cachées» et qu'un échantillon de 10% des utilisateurs serait utilisé.
Il convient de noter qu'aucune des vidéos officielles de Burger King (où elles montrent prétendument la dissimulation de données personnelles) n'affiche pas le menu pour lier une carte bancaire.
Dans cette vidéo, il est montré.
Je tiens également à noter qu'après la publication de l'enquête initiale, des attaques de pirates informatiques ont commencé sur mon blog (admin force brute, recherche d'exploits, tentative DDoS).
Je prépare un deuxième article sur ce sujet.
Restez à l'écoute, plus d'infos sur mon blog .
Bonjour, Habr! J'ai 18 ans et
je barbe dans mon temps libre en choisissant différentes applications. Aujourd'hui, mes mains ont atteint l'application Burger King populaire et populaire (celle où «burger est gratuit», «nadalovo» et codes promotionnels pour les amis).
Je lance leur application, je surveille le trafic. Et puis je trouve ceci:
Qu'est ce que c'est S'il n'y a pas d'idées, regardez sous la coupe.
UPD:3amynoK
Je dirais qu'ils marchent sur une glace incroyablement mince. Je vois des tachi - transitions entre les champs, mais je n'ai pas trouvé de bandes sur le clavier dans leurs données. yadi.sk/d/tjxg2OJ83Z6YB8 J'ai à nouveau entré le formulaire, entré 123456 dans le numéro de carte ... Ce que je vois est l'ouverture du formulaire de la carte "BurgerKing.PycardInput", "s": 132000 où s est le temps, puis j'ai regardé tous les TouchEvents de cette temps et les a marqués sur l'écran. Les valeurs des actions ont été confondues, il y a "h": 216 qu'il y a une hauteur de clavier et il y a des événements avec "i" dans une rangée 1, 2, 4. Je pense que c'est le choix de la date du terme de la carte lors du choix dans le tambour.
UPD du modérateur Habr:Nous avons contacté les participants de l'histoire et reçu des commentaires - suivez-les dans notre article .
Et il s'agit d'une demande de l'application au serveur (ci-dessus) avec des informations comme sa version, le modèle de téléphone, l'heure de début, la résolution d'affichage. Tout semble aller bien, mais ...
En réponse au téléphone, des informations (ci-dessous) expliquent comment enregistrer une vidéo à partir de l'écran.
De plus, le paramètre MaxVideoLength (longueur vidéo maximale) est spécifié comme «0», ce qui signifie un enregistrement sans fin (pendant que l'application est en cours d'exécution).
Autrement dit, l'application n'enregistre pas seulement l'écran, mais le fait en continu, et de la même manière envoie en continu l'enregistrement au serveur. Les utilisateurs d'Internet mobile (c'est-à-dire presque tous) ont évalué cette «fonctionnalité», je pense.
L'enregistrement d'écran est transmis en tant que flux régulier * .mp4:
Faites attention à l'adresse * .appsee.com / upload (AppSee est une mesure vidéo pour les applications) à gauche et le fichier * .mp4 à droite (informations d'encodage dans l'en-tête, * .mp4 lui-même ci-dessous).
Eh bien, il y a une cerise sur le gâteau: l'écran est enregistré même lorsque vous entrez vos coordonnées bancaires dans l'application (et cela est nécessaire pour finaliser la commande). Notez toutes les données.
Et la cerise sur le gâteau: non seulement l'enregistrement d'un écran est une occupation très douteuse, non seulement les développeurs de l'application Burger King, mais aussi divers partenaires AppSee (c'est-à-dire des personnes complètement à gauche avec des intentions inconnues) ont accès aux vidéos enregistrées, et AppSee lui-même aussi.
Permettez-moi de vous le rappeler - la vidéo est enregistrée même lorsque vous entrez les détails de votre carte bancaire. Et tout le monde y a accès.
Voici la vidéo elle-même:
PS: oui, vous pouvez lire ce post sous une forme similaire sur un autre site, mais un tel feu de burger a clairement sa place sur Habré. J'espère comprendre tout le monde et les OVNIS.