Nikki Mikami
27 746
Блоги
Редактирование закрыто

Приложение Burger King записывает экран пользователя и реквизиты банковских карт

Привет! Мне 18 и в свободное время я ковыряю разные приложения.

Поделиться

В избранное

В избранном

Сегодня дошли руки до распиаренного приложения «Бургер Кинга» — того самого, где «бургер — бесплатно» и промокоды для друзей. Значит, открываю приложение на своём айфоне, смотрю за трафиком. И обнаруживаю это.

Сверху — запрос приложения к серверу, снизу — ответ сервера приложению

Это запрос от приложения к серверу с инфой вроде его версии, модели телефона, времени запуска, разрешении дисплея. Вроде бы всё окей, да? Но в ответ телефону прилетает информация о том, как записывать видео с экрана.

Параметр MaxVideoLength (максимальная длина видео) указан как «0», что означает бесконечную запись при запущенном приложении. То есть приложение не просто записывает экран, а делает это постоянно. И ровно таким же образом постоянно отсылает запись на сервер.

Запись экрана отправляется на сервер. Слева — запросы приложения, справа — детальный вид запроса

Обратите внимание на адрес *.appsee.com/upload (о том, что такое AppSee — в конце) слева и сам файл *.mp4 справа. Все эти квадраты — это видео в сыром виде, которое в прямом эфире отправляется на сервер. Экран записывается даже тогда, когда вы вбиваете данные своей банковской карты в приложение, что необходимо для совершения заказа.

Ну и финальная вишенка: AppSee — это такая метрика или статистика для приложений. И чуваки специализируются на таком вот способе отслеживать приложение для разработчиков и маркетологов. Мало того, что записывать экран ни разу не круто, так ещё и к этим видео имеют доступ не только разработчики приложения Burger King, но и всякая шушера вроде партнёров AppSee (то есть совершенно левые люди), да и сам AppSee тоже.

Напомню, что видео записывается даже тогда, когда вы вбиваете данные своей банковской карты. И к нему имеют доступ кто попало (эта информация не подтверждена — прим. TJ).

Вот так выглядит само видео, точнее кадр из него.

Скриншот видео извлеченного из «стрима» на сервер AppSee.

Также приложение не имеет так называемого certificate pinning, что позволяет злоумышленникам легко перехватить ваш трафик, используя любой сертификат. А ещё приложение записывает прикосновения к экрану и может сопоставлять их с финальным видео.

Оригинальная публикация размещена на «Пикабу». Там появились два человека, предположительно связанных с «Бургер Кингом» (эта информация не подтверждена — прим. TJ), и сразу же сделали «разоблачение», которое я опроверг. Официальное сообщество компании во «ВКонтакте» до сих пор молчит и отвечает только на вопросы про бесплатные стикеры. ¯\_(ツ)_/¯

Обновлено от редакции TJ в 0:30 12 июля: мы направили запрос в пресс-службу «Бургер Кинга», но пока не получили ответа.

#исследования #приложения

Материал дополнен редакцией
{ "author_name": "Nikki Mikami", "author_type": "self", "tags": ["\u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f","\u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f"], "comments": 198, "likes": 168, "favorites": 24, "is_advertisement": false, "section_name": "blog", "id": "73508", "is_wide": "" }
Популярные материалы
Показать еще
{ "is_needs_advanced_access": true }

Популярные комментарии

Дискуссии по теме
доступны только владельцам клубного аккаунта

Купить за 75₽
Авторизоваться

Преимущества
клубного аккаунта

  • отсутствие рекламы
  • возможность писать комментарии и статьи
  • общение с членами клуба
Подробнее

Преимущества
клубного аккаунта

  • отсутствие рекламы
  • возможность читать и писать комментарии
  • общение с членами клуба
  • возможность создавать записи

Сколько это стоит?

Членство в клубе стоит всего 75₽ в месяц. Или даже дешевле при оплате за год.

Что такое клуб?

Клуб ТЖ это сообщество единомышленников. Мы любим читать новости, любим писать статьи, любим общаться друг с другом.

Вступить в клуб

Комментарии Комм.

Популярные

По порядку

0

Прямой эфир

Вы не против подписаться на важные новости от TJ?

Нет, не против
[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byswn", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-130073047", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=cndo&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudv", "p2": "ftjf" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvc" } } } ]