0 220 21.11.2024, Четверг

Мы дожили до этого дня - вышла S.T.A.L.K.E.R. 2

После 15 лет ожиданий, одной отмены и нескольких переносов студия GSC Game World всё-таки выпустила амбициозный постапокалиптический шутер с открытым
2 23210 10.09.2015, Четверг

Прямо из цеха: Mafia III - почему мы отказались от итальянской мафии?

Вместе с официальным анонсом Mafia III многие геймеры остались недовольны новым главным героем игры. 

3 39122 10.07.2015, Пятница

Что может быть лучше обнаженных ведьмачек? «Ведьмак 3: Дикая охота»

«Если надо будет выбирать между одним злом и другим, я не буду выбирать вовсе». 

0 8398 05.07.2015, Воскрес.

Холодное сердце. Обзор Kholat

В Kholat есть удачные моменты, есть отличная работа со звуком и даже несколько минут чарующего голоса Мэри-Элизабет Макглинн.

В STEAM ВПЕРВЫЕ ПОЯВИТСЯ ВИЗУАЛЬНАЯ НОВЕЛЛА СО СЦЕНАМИ СЕКСА БЕЗ ЦЕНЗУРЫ

theKane 1 29682 20

О ТОМ, НА ЧТО СПОСОБНЫ ДАРТ ВЕЙДЕР И ЛЮК СКАЙУОКЕР В STAR WARS

theKane 0 25956 18

Фанат создал настоящую дверь в убежище Fallout 4

theKane 0 3850 13

Приложение Starbucks хранит пароли в открытом виде

Информашка

Блог автора

Читателей: 0

Читает: 0

Подписаться
Читательский рейтинг
20940

Я где-то узнавала о том, что приложение сети «Япоша» показывает всем желающим адреса и телефоны заказчиков. Оказалось, что крупные трансконтинентальные сети тоже подвержены подобным проколам — американское приложение Starbucks для iOS, при помощи которого можно искать заведения неподалёку и оплачивать кофе, хранит пользовательские данные в незашифрованном виде.



Чтобы получить юзернейм и пароль жертвы, достаточно незаметно подключить телефон к компьютеру и скачать оттуда данные — всё хранится в виде обычного текста. Точно так же приложение сохраняет и данные о перемещениях пользователя.

Сам по себе это не такой уж и страшный прокол — во-первых, обладая такой информацией, можно лишь пропить чей-то счёт в кофейне. Ну, если кто-то купит себе кофе на мои 400 рублей, то ничего особенно опасного в этом нет (однако, могут пострадать те, кто использует везде один и тот же пароль). Во-вторых, для такого «взлома» нужен полный доступ к чужому смартфону — и если ваш телефон оказывается в злых руках, то это в любом случае грозит гораздо более страшными потерями, чем два стакана капуччино.



Руководство сети в курсе, что в их приложении есть такая вот дыра — они даже выпустили обновление, в котором, впрочем, всё остаётся на своих местах.

Приложение не лишено других слабых сторон — платёж происходит путём сканирования экрана с изображённым на нём баркодом, то есть кто-то может тайком его сфотографировать и расплачиваться от вашего имени.

Интересен способ исследования, применённый аналитиком Дэниелем Вудом — тем самым, кто первым обнаружил это вопиющее нарушение приватности. По его словам, на всё про всё требуется от 30 минут до 1 часа, при этом вовсе не обязательно знать код разблокировки айфона. Нужно подключить телефон к компьютеру и найти файл session.clslog, который находится в папке Library/Cache. Именно там хранятся все явки и пароли — можно начинать грабить. Израсходовав все средства на балансе жерты, можно запустить руку в её банковский аккаунт — если в приложении включена функция автопополнения баланса. Но, опять же, если на эти деньги можно лишь кофе покупать, то какой в этом прок мошеннику?

В целом, мораль истории такова: никогда и нигде нельзя хранить важные данные, тем более чужие, в открытом виде. Руководство Starbucks делает скользкие и мутные заявления, по факту не предпринимая никаких полезных действий, хотя на их месте стоило бы исправить всё как можно скорее — пока не пострадал кто-то, кто использует один и тот же пароль и для карты Starbucks, и для своего банковского счёта.
←Благодарность за интересный пост →
+11




Комментариев: 0 Просмотров: 858