Офтоп Nikki Mikami
27 982

Приложение Burger King записывает экран пользователя и реквизиты банковских карт

Привет! Мне 18 и в свободное время я ковыряю разные приложения.

В закладки

Сегодня дошли руки до распиаренного приложения «Бургер Кинга» — того самого, где «бургер — бесплатно» и промокоды для друзей. Значит, открываю приложение на своём айфоне, смотрю за трафиком. И обнаруживаю это.

Сверху — запрос приложения к серверу, снизу — ответ сервера приложению

Это запрос от приложения к серверу с инфой вроде его версии, модели телефона, времени запуска, разрешении дисплея. Вроде бы всё окей, да? Но в ответ телефону прилетает информация о том, как записывать видео с экрана.

Параметр MaxVideoLength (максимальная длина видео) указан как «0», что означает бесконечную запись при запущенном приложении. То есть приложение не просто записывает экран, а делает это постоянно. И ровно таким же образом постоянно отсылает запись на сервер.

Запись экрана отправляется на сервер. Слева — запросы приложения, справа — детальный вид запроса

Обратите внимание на адрес *.appsee.com/upload (о том, что такое AppSee — в конце) слева и сам файл *.mp4 справа. Все эти квадраты — это видео в сыром виде, которое в прямом эфире отправляется на сервер. Экран записывается даже тогда, когда вы вбиваете данные своей банковской карты в приложение, что необходимо для совершения заказа.

Ну и финальная вишенка: AppSee — это такая метрика или статистика для приложений. И чуваки специализируются на таком вот способе отслеживать приложение для разработчиков и маркетологов. Мало того, что записывать экран ни разу не круто, так ещё и к этим видео имеют доступ не только разработчики приложения Burger King, но и всякая шушера вроде партнёров AppSee (то есть совершенно левые люди), да и сам AppSee тоже.

Напомню, что видео записывается даже тогда, когда вы вбиваете данные своей банковской карты. И к нему имеют доступ кто попало (эта информация не подтверждена — прим. TJ).

Вот так выглядит само видео, точнее кадр из него.

Скриншот видео извлеченного из «стрима» на сервер AppSee.

Также приложение не имеет так называемого certificate pinning, что позволяет злоумышленникам легко перехватить ваш трафик, используя любой сертификат. А ещё приложение записывает прикосновения к экрану и может сопоставлять их с финальным видео.

Оригинальная публикация размещена на «Пикабу». Там появились два человека, предположительно связанных с «Бургер Кингом» (эта информация не подтверждена — прим. TJ), и сразу же сделали «разоблачение», которое я опроверг. Официальное сообщество компании во «ВКонтакте» до сих пор молчит и отвечает только на вопросы про бесплатные стикеры. ¯\_(ツ)_/¯

Обновлено от редакции TJ в 0:30 12 июля: мы направили запрос в пресс-службу «Бургер Кинга», но пока не получили ответа.

#исследования #приложения

Материал дополнен редакцией

Материал опубликован пользователем. Нажмите кнопку «Написать», чтобы рассказать свою историю.

Написать
{ "author_name": "Nikki Mikami", "author_type": "self", "tags": ["\u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f","\u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f"], "comments": 195, "likes": 168, "favorites": 23, "is_advertisement": false, "subsite_label": "flood", "id": 73508, "is_wide": false, "is_ugc": true, "date": "Wed, 11 Jul 2018 23:52:01 +0300" }
Комментарии

Строительный блик

7

Зачем эту статью вообще выкладывать?
Вы ещё напишите, что яндекс пишет все действия пользователя через вебвизор и требуете объяснений.
Appsee.com как и вебвизор не пишет ввод с клавиатуры.

Выходной хот-дог

6

мы направили запрос в пресс-службу «Бургер Кинга», чтобы выяснить, как компания использовала эти данные и планирует ли это делать в дальнейшем

Они же вас предупреждали что будут следить и использовать куки, галочку кто ставил, кто соглашался?

Трогательный бас

16

свободное время я ковыряю разные приложения

А потом приводишь данные перехваченного трафика. Ты ведь осознаешь, что трафик и "ковыряние приложения" – это очень разные вещи?

записывать экран ни разу не круто

Что значит «не круто»? А ты пробовал когда-нибудь определять, почему твой пользователь не проходит регистрацию? Или что ему мешает / отталкивает в ходе работы твоего приложения?
Или это такое же утверждение, как из начала поста: ты ковыряешься в приложении не ковыряясь в нём?

к этим видео имеют доступ не только разработчики приложения Burger King, но и всякая шушера вроде партнёров AppSee (то есть совершенно левые люди), да и сам AppSee тоже.

А знаешь, что было бы круто? Увидеть доказательства этого. Если ты что-то говоришь, то наверняка же не из головы и не из теорий заговора. Отлично, тогда приведи, пожалуйста, пример того, какой партнёр и где получл доступ к этим банковским картам, которые так рьяно утекают из приложения BK.

видео записывается даже тогда, когда вы вбиваете данные своей банковской карты

Делается постонно, даже тогда, когда происходит заполнение данных карт, но почему ты не говоришь, что данное видео лишено приватных данных? Или ты не читал документацию AppSee и не знаешь как в принципе работает сервис? То есть, на секундочку, AppSee подпадает под законы Европы и США о хранении и передаче приватных данных, а когда происходит ввод этих данных, например, номера банковской карты, поле автоматически закрывается, иначе использование такой библиотеки было бы запрещено и приложение не прошло бы модерацию Apple / Google.
Но хорошо, я тебе верю, они записывают данные карт, видео записывается постоянно, вот даже кадр из видео есть, которое записывается с разрешением 256 пикселей на 144 и двумя кадрами в секунду. А покаежешь тот самый заветный кадр с заполнением данных банковской карты? Тот самый, который вынесен в заголовок поста, а то странно как-то: ты говоришь, что данные записываются, номера карт видно, но это почему-то только на словах. Было бы круто, ведь не обманываешь же ты нас здесь всех.

Кстати, а что в пост не вошел этот комментарий про «страшную Яндекс.Метрику»? Или про Crashlytics, которому можно доверять?
Было бы тоже неплохо увидеть отдельный пост о том, почему Яндекс.Метрика – страшная, а Crashlytics такая доверенная.

Офтоп
дискуссии в сообществе доступны только владельцам клубного аккаунта
С клубным аккаунтом вы сможете
создавать записи и вести дискуссии в закрытых сообществах
наслаждаться нашим сайтом без рекламы
помочь проекту и почувствовать себя лучше
Купить за 75₽

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byswn", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-130073047", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=cndo&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudv", "p2": "ftjf" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvc" } } } ]
Не пропустите самое важное,
что происходит в интернете
Подписаться на push-уведомления