Новости Русского мира

Приложение Burger King записывает экран пользователя и реквизиты банковских карт

0 52

- Advertisement -


Привет! Мне 18 и̶ ̶я̶ ̶б̶о̶р̶о̶д̶а̶т и в свободное время я ковыряю разные приложения.

Поделиться

Поделиться

(function ($) { var bsaProContainer = $('.bsaProContainer-5'); var number_show_ads = "0"; var number_hide_ads = "0"; if ( number_show_ads > 0 ) { setTimeout(function () { bsaProContainer.fadeIn(); }, number_show_ads * 1000); } if ( number_hide_ads > 0 ) { setTimeout(function () { bsaProContainer.fadeOut(); }, number_hide_ads * 1000); } })(jQuery);

Твитнуть

В избранное

В избранном

Сегодня дошли руки до распиаренного приложения Бургер Кинга (того самого, где «бургер — бесплатно» и промокоды для друзей).

Значит открываю приложение на своем айфоне, смотрю за трафиком. И обнаруживаю это:

Сверху — запрос приложения к серверу, снизу — ответ сервера приложению.

Что это такое?

А это запрос от приложения к серверу (сверху) с инфой вроде его версии, модели телефона, времени запуска, разрешении дисплея. Вроде бы все окей, да?

Но! В ответ телефону прилетает информация (снизу) о том, как записывать видео с экрана.

Причем, параметр MaxVideoLength (максимальная длина видео) указан как “0”, что значит — бесконечная запись (при запущенном приложении)!

Т. е. — приложение не просто записывает экран, а делает это постоянно, и ровно таким же образом постоянно отсылает запись на сервер. Как Вам, пользователи мобильного интернета? 🙂

О, а вот и запись экрана отправляется на сервер!

Слева — запросы приложения, справа — детальный вид запроса.

Обратите внимание на адрес *.appsee.com/upload (о том, что такое AppSee — в конце) слева и сам файл *.mp4 справа (все эти квадраты — видео в сыром виде, которое в живом эфире отправляется на сервер).

Ну и вишенка на торте: экран записывается даже тогда, когда Вы вбиваете данные своей банковской карты в приложение (и это необходимо для совершения заказа).

Ну и финальная вишенка: AppSee — это такая метрика (статистика) для приложений, и чуваки специализируются на таком вот способе отслеживать приложение для разработчиков/маркетологов. Мало того, что записывать экран ни разу не круто, так еще к этим видео имеют доступ не только разработчики приложения Burger King, а и всякая шушера вроде партнеров AppSee (то есть — совершенно левые люди), да и сам AppSee тоже.

Напомню — видео записывается даже тогда, когда вы вбиваете данные своей банковской карты. И к нему имеют доступ кто попало.

Вот так выглядит само видео:

Скриншот видео извлеченного из “стрима” на сервер AppSee.

Также, приложение не имеет так называемого certificate pinning, что позволяет злоумышленникам легко перехватить Ваш трафик, используя любой сертификат.

А еще — приложение записывает прикосновения к экрану и может сопоставлять их с финальным видео.

Апдейт: На Пикабу появились два человека, связанных с БК, и сразу же сделали “разоблачение” (которое я опроверг). Официальный паблик BK до сих пор молчит и отвечает только на вопросы про бесплатные стикеры. ¯_(ツ)_/¯

Также, мой пост на Пикабу мгновенно вышел на первое место за двадцать минут.



Source link

- Advertisement -

Comments
Loading...