UPD2:Ele fez um segundo post com evidências e uma refutação das alegações de Burger King. Leia aqui .
UPD:fennikami
Forneci uma prova de vídeo de que os campos de entrada de dados (incluindo cartões bancários) não estão ocultos + o vídeo é enviado toda vez que você inicia (como você pode ver acompanhando o tráfego do aplicativo).
Portanto, refuto a resposta oficial do Burger King que “as informações pessoais estão ocultas” e que uma amostra de 10% dos usuários é supostamente usada.
Vale ressaltar que nenhum dos vídeos oficiais do Burger King (onde eles supostamente mostram a ocultação de dados pessoais) não mostra o menu para vincular um cartão bancário.
Neste vídeo é mostrado.
Também quero observar que, após a publicação da investigação original, os ataques de hackers começaram no meu blog (força bruta do administrador, exploração de pesquisa, tentativa de DDoS).
Estou preparando um segundo post sobre esse tópico.
Fique ligado, mais informações no meu blog .
Olá Habr! Tenho 18 anos e
barbudo no meu tempo livre escolhendo diferentes aplicativos. Hoje, minhas mãos chegaram ao popular e popular aplicativo Burger King (aquele em que “hambúrguer é gratuito”, “nadalovo” e códigos promocionais para amigos).
Eu inicio o aplicativo deles, monitoro o tráfego. E então eu acho isso:
O que é isso Se não houver idéias, procure por baixo do corte.
UPD:3amynoK
Eu diria que eles andam em gelo incrivelmente fino. Vejo transições tachi entre campos, mas não encontrei fitas no teclado em seus dados. yadi.sk/d/tjxg2OJ83Z6YB8 Voltei a inserir o formulário, digitei 123456 no número do cartão ... O que vejo é a abertura do formulário "BurgerKing.PycardInput", "s": 132000 onde s é a hora, e olhei para todos os TouchEvents a partir deste hora e marcou-os na tela. Os valores das ações foram confusos, existe "h": 216 que existe uma altura do teclado e há alguns eventos com "i" na linha 1, 2, 4. Acho que essa é a escolha da data do termo do cartão ao escolher o tambor.
UPD do moderador Habr:Entramos em contato com os participantes da história e recebemos comentários - siga-os em nosso artigo .
E isso é uma solicitação do aplicativo para o servidor (acima) com informações como sua versão, modelo do telefone, horário de início e resolução da tela. Tudo parece estar bem, mas ...
Em resposta ao telefone, há informações (abaixo) sobre como gravar vídeo na tela.
Além disso, o parâmetro MaxVideoLength (duração máxima do vídeo) é especificado como "0", o que significa gravação sem fim (enquanto o aplicativo está sendo executado).
Ou seja, o aplicativo não apenas grava a tela, mas o faz continuamente e da mesma maneira envia continuamente a gravação para o servidor. Usuários de Internet móvel (ou seja, quase todos) classificaram esse "recurso", eu acho.
A gravação da tela é transmitida como um fluxo * .mp4 regular:
Preste atenção no endereço * .appsee.com / upload (AppSee é uma métrica de vídeo para aplicativos) à esquerda e no arquivo * .mp4 à direita (informações de codificação no cabeçalho, * .mp4 em si).
Bem, há uma cereja no bolo: a tela é gravada mesmo quando você insere os detalhes do seu cartão bancário no aplicativo (e isso é necessário para concluir o pedido). Observe todos os dados.
E a cereja final: não apenas gravar uma tela é uma ocupação muito duvidosa, não apenas os desenvolvedores do aplicativo Burger King, mas também vários parceiros do AppSee (ou seja, pessoas completamente de esquerda com intenções desconhecidas) têm acesso aos vídeos gravados e o próprio AppSee também
Deixe-me lembrá-lo - o vídeo é gravado mesmo quando você insere os detalhes do seu cartão bancário. E qualquer um tem acesso a ele.
Aqui está o vídeo em si:
PS: sim, você pode ler este post de forma semelhante em outro site, mas esse tipo de lanchonete claramente tem lugar em Habré. Espero entender todos e UFO.