UPD2:Dia membuat posting kedua dengan bukti dan bantahan atas tuduhan Burger King. Baca di sini .
UPD:fennikami
Saya memberikan bukti video bahwa bidang entri data (termasuk kartu bank) tidak disembunyikan + video dikirim setiap kali dimulai (seperti yang Anda lihat sendiri dengan melacak lalu lintas aplikasi).
Jadi, saya memiliki bantahan terhadap jawaban resmi Burger King bahwa "informasi pribadi disembunyikan" dan bahwa sampel 10% pengguna diduga digunakan.
Perlu dicatat bahwa tidak ada video Burger King resmi (di mana mereka seharusnya menunjukkan menyembunyikan data pribadi) tidak menunjukkan menu untuk menautkan kartu bank.
Dalam video ini ditampilkan.
Saya juga ingin mencatat bahwa setelah publikasi investigasi asli, serangan hacker dimulai di blog saya (admin brute force, eksploitasi pencarian, upaya DDoS).
Saya sedang menyiapkan posting kedua tentang topik ini.
Tetap disini, info lebih lanjut di blog saya .
Halo, Habr! Saya berumur 18 dan
saya berjenggot dalam waktu luang saya memilih aplikasi yang berbeda. Hari ini, tangan saya telah mencapai aplikasi Burger King yang populer dan populer (di mana "burger gratis", "nadalovo" dan kode promosi untuk teman-teman).
Saya meluncurkan aplikasi mereka, saya memonitor lalu lintas. Dan kemudian saya menemukan ini:
Apa ini Jika tidak ada ide, lihat di bawah potongan.
UPD:3amynoK
Saya akan mengatakan mereka berjalan di atas es yang sangat tipis. Saya melihat tachi - transisi antar bidang, tetapi saya tidak menemukan kaset di keyboard dalam data mereka. yadi.sk/d/tjxg2OJ83Z6YB8 Saya kembali memasukkan formulir, memasukkan 123456 dalam nomor kartu ... Apa yang saya lihat adalah pembukaan bentuk kartu "BurgerKing.PycardInput", "s": 132000 di mana waktu, lalu saya melihat semua TouchEvents dari ini waktu dan menandainya di layar. Nilai tindakan bingung, ada "h": 216 bahwa ada ketinggian keyboard dan ada beberapa acara dengan "i" di baris 1, 2, 4. Saya pikir ini adalah pilihan tanggal jangka kartu ketika memilih dalam drum.
UPD Habr moderator:Kami menghubungi peserta cerita dan menerima komentar - ikuti mereka di artikel kami .
Dan ini adalah permintaan dari aplikasi ke server (di atas) dengan informasi seperti versi, model telepon, waktu mulai, resolusi layar. Segalanya tampak baik-baik saja, tapi ...
Menanggapi telepon datang informasi (di bawah) tentang cara merekam video dari layar.
Selain itu, parameter MaxVideoLength (panjang video maksimum) ditetapkan sebagai "0", yang berarti perekaman tanpa akhir (saat aplikasi sedang berjalan).
Artinya, aplikasi tidak hanya merekam layar, tetapi melakukannya terus menerus, dan dengan cara yang sama terus-menerus mengirimkan rekaman ke server. Pengguna Internet seluler (yaitu, hampir semua) menilai "fitur" ini, saya kira.
Rekaman layar ditransmisikan sebagai aliran * .mp4 biasa:
Perhatikan alamat * .appsee.com / unggah (AppSee adalah metrik video untuk aplikasi) di sebelah kiri dan file * .mp4 di sebelah kanan (penyandian informasi di tajuk, * .mp4 itu sendiri di bawah).
Ya, ada ceri pada kue: layar direkam bahkan ketika Anda memasukkan rincian kartu bank Anda dalam aplikasi (dan ini diperlukan untuk menyelesaikan pesanan). Perhatikan semua data.
Dan ceri terakhir: tidak hanya merekam layar pekerjaan yang sangat meragukan, tidak hanya pengembang aplikasi Burger King, tetapi juga berbagai mitra AppSee (yaitu, orang-orang sayap kiri sepenuhnya dengan niat yang tidak diketahui) memiliki akses ke video yang direkam, dan AppSee sendiri juga.
Biarkan saya mengingatkan Anda - video direkam bahkan ketika Anda memasukkan detail kartu bank Anda. Dan siapa pun memiliki akses ke sana.
Ini videonya sendiri:
PS: ya, Anda bisa membaca posting ini dalam bentuk yang serupa di situs lain, tetapi burger burger seperti itu jelas ada di Habré. Berharap untuk memahami semua orang dan UFO.