Приложение Burger King записывает экран пользователя и реквизиты банковских карт
Привет! Мне 18 и в свободное время я ковыряю разные приложения.
Сегодня дошли руки до распиаренного приложения 'Бургер Кинга' - того самого, где 'бургер - бесплатно' и промокоды для друзей. Значит, открываю приложение на своём айфоне, смотрю за трафиком. И обнаруживаю это.
Сверху - запрос приложения к серверу, снизу - ответ сервера приложению
Это запрос от приложения к серверу с инфой вроде его версии, модели телефона, времени запуска, разрешении дисплея. Вроде бы всё окей, да? Но в ответ телефону прилетает информация о том, как записывать видео с экрана.
Параметр MaxVideoLength (максимальная длина видео) указан как '0', что означает бесконечную запись при запущенном приложении. То есть приложение не просто записывает экран, а делает это постоянно. И ровно таким же образом постоянно отсылает запись на сервер.
Запись экрана отправляется на сервер. Слева - запросы приложения, справа - детальный вид запроса
Обратите внимание на адрес *.appsee.com/upload (о том, что такое AppSee - в конце) слева и сам файл *.mp4 справа. Все эти квадраты - это видео в сыром виде, которое в прямом эфире отправляется на сервер. Экран записывается даже тогда, когда вы вбиваете данные своей банковской карты в приложение, что необходимо для совершения заказа.
Ну и финальная вишенка: AppSee - это такая метрика или статистика для приложений. И чуваки специализируются на таком вот способе отслеживать приложение для разработчиков и маркетологов. Мало того, что записывать экран ни разу не круто, так ещё и к этим видео имеют доступ не только разработчики приложения Burger King, но и всякая шушера вроде партнёров AppSee (то есть совершенно левые люди), да и сам AppSee тоже.
Напомню, что видео записывается даже тогда, когда вы вбиваете данные своей банковской карты. И к нему имеют доступ кто попало.
Вот так выглядит само видео, точнее кадр из него.
Скриншот видео извлеченного из 'стрима' на сервер AppSee.
Также приложение не имеет так называемого certificate pinning, что позволяет злоумышленникам легко перехватить ваш трафик, используя любой сертификат. А ещё приложение записывает прикосновения к экрану и может сопоставлять их с финальным видео.
Оригинальная публикация размещена на 'Пикабу'. Там появились два человека, связанных с 'Бургер Кингом', и сразу же сделали 'разоблачение', которое я опроверг. Официальное сообщество компании во 'ВКонтакте' до сих пор молчит и отвечает только на вопросы про бесплатные стикеры. ¯\_(ツ :P_/¯
Обновлено от редакции TJ в 0:30 12 июля: мы направили запрос в пресс-службу 'Бургер Кинга', чтобы выяснить, как компания использовала эти данные и планирует ли это делать в дальнейшем.
https://tjournal.ru/73508-pril...bankovskih-kart