Как 18-летний айтишник из России заставил отчитываться несколько зарубежных компаний

Суббота выдалась горячей. Какой-то 18-летний паренек, толи от скуки, толи от интереса, проснифил трафик приложения Burger King для смартфонов, и обнаружил, что это приложение записывает экран (в том числе и при вводе банковской карты), и отсылает данные на сервер. О чем поспешил сообщить ребятам на Пикабу: Приложение Burger King тайно записывает экран телефона!
Привет! Мне 18 и я бородат в свободное время ковыряю разные приложения.

Сегодня дошли руки до распиаренного приложения Бургер Кинга (того самого, где «бургер — бесплатно» и промокоды для друзей).

Значит открываю приложение на своем айфончике, смотрю за трафиком. И обнаруживаю это:



Что это такое?

А это запрос от приложения к серверу (сверху) с инфой вроде его версии, модели телефона, времени запуска, разрешении дисплея. Вроде бы все окей, да?

Но! В ответ телефону прилетает информация (снизу) о том, как записывать видео с экрана. o_O

Причем, параметр MaxVideoLength (максимальная длина видео) указан как «0», что значит — бесконечная запись (при запущенном приложении)!

Т. е. — приложение не просто записывает экран, а делает это постоянно, и ровно таким же образом постоянно отсылает запись на сервер. Как Вам, пользователи мобильного интернета? :)

О, а вот и запись экрана отправляется на сервер!



Обратите внимание на адрес *.appsee.com/upload (о том, что такое AppSee — в конце) слева и сам файл mp4 справа (все эти квадраты — видео с сыром виде, которое в живом эфире отправляется на сервер).

Ну и вишенка на торте: экран записывается даже тогда, когда Вы вбиваете данные своей банковской карты в приложение (и это необходимо для совершения заказа).
Ну и финальная вишенка: AppSee — это такая метрика (статистика) для приложений, и чуваки специализируются на таком вот способе отслеживать приложение для разработчиков/маркетологов.

Мало того, что записывать экран ни разу не круто, так еще к этим видео имеют доступ не только разработчики приложения Burger King, а и всякая шушера вроде партнеров AppSee (то есть — совершенно левые люди), да и сам AppSee тоже.
Напомню — видео записывается даже тогда, когда вы вбиваете данные своей банковской карты. И к нему имеют доступ кто попало.



Слегка ужато, да, но ничто не мешает серверу в какой-то момент прислать конфиг для записи видео в HD и тогда будет совсем грустно.

Как же так, Burger King? :(


На пикабу пост сорвал покровы:



Далее пост был копипастнут на хабр, и начался кромешный пиздец
Читать дальше  »