UPD2:他发表了第二篇有证据的文章,并驳斥了汉堡王的指控。 在这里阅读 。
UPD:芬尼卡米
我提供了一个视频证明 , 证明数据输入字段(包括银行卡)没有隐藏,并且每次启动时都会发送视频(您可以通过跟踪应用程序流量来查看)。
因此,我驳斥了汉堡王官方的答复,即“个人信息被隐藏”,据称使用了10%的用户样本。
值得注意的是,所有Burger King官方视频(据说它们都在其中隐藏了个人数据)都没有显示用于链接银行卡的菜单。
在此视频中显示。
我还想指出,在原始调查发布后,黑客开始在我的博客上发动攻击(管理员暴力,漏洞利用搜索,DDoS尝试)。
我正在准备有关该主题的第二篇文章。
请继续关注, 有关我的博客的更多信息。
哈Ha! 我今年18岁,
我的业余时间
留着胡须挑选不同的应用程序。 今天,我的手已经到达了流行且流行的Burger King应用程序(“免费汉堡”,“ nadalovo”和朋友促销代码的应用程序)。
我启动他们的应用程序,监视流量。 然后我发现:
这是什么 如果没有任何想法,请查看下图。
UPD:3amynoK
我会说他们在极薄的冰上行走。 我看到了tachi-字段之间的过渡,但是我没有在键盘上的数据中找到磁带。 yadi.sk/d/tjxg2OJ83Z6YB8我再次输入表格,在卡号中输入了123456 ...我看到的是“ BurgerKing.PycardInput”卡的开头,“ s”:132000,其中s是时间,然后我从中查看了所有TouchEvents时间并将其标记在屏幕上。 动作值感到困惑,出现“ h”:216表示键盘高度,并且在第1、2、4行中有一些带有“ i”的事件。我认为这是在鼓中选择卡片期限的日期。
哈伯主持人的UPD:我们联系了故事的参与者并收到了评论- 在我们的文章中关注他们。
这是从应用程序到服务器(上方)的请求,其中包含诸如版本,电话型号,开始时间,显示分辨率之类的信息。 一切似乎都很好,但是...
作为对手机的回应,有关如何从屏幕录制视频的信息(如下)。
此外,MaxVideoLength参数(最大视频长度)被指定为“ 0”,这意味着无休止的录制(在应用程序运行时)。
也就是说,应用程序不仅记录屏幕,而且连续记录屏幕,并且以相同的方式将记录连续发送到服务器。 我认为,移动互联网用户(即几乎所有用户)都将此功能评为“特色”。
屏幕录像以常规* .mp4流传输:
请注意左侧的* .appsee.com /上传地址(AppSee是应用程序的视频指标),右侧的* .mp4文件(标题中的编码信息,下方的* .mp4本身)。
嗯,蛋糕上有一颗樱桃:即使您在应用程序中输入银行卡详细信息,屏幕也会记录下来(这是完成订单的必要条件)。 注意所有数据。
最后一点:录制屏幕不仅是一个非常可疑的职业,不仅是Burger King应用程序的开发人员,而且各种AppSee合作伙伴(也就是意图未知的完全左翼人士)都可以访问录制的视频,而AppSee本身也一样
让我提醒您-即使您输入银行卡详细信息,也会录制视频。 而且任何人都可以访问它。
这是视频本身:
PS:是的,您可以在其他站点上以类似的形式阅读此文章,但是这样的汉堡火显然在Habré上占有一席之地。 希望了解每个人和不明飞行物。