- AppSee — это malware-сервис, который можно интегрировать в мобильное приложение и получить видеозапись экрана для какой-то там аналитики;
- Как видно из перехваченного видео — данные передаются без какой-либо обработки, а уже в самом AppSee видео обрабатывается и данные держателей карт (ДДК) закрашиваются черными квадратами, как они утверждают;
- Представители Burger King заняли позицию, что они ничего не нарушают, так как данные от AppSee им уже приходят после обработки и они не видят в них ДДК, как они утверждают.
Даже если поверить, что оба утверждения верные, то все равно Burger King своими действиями нарушает стандарт безопасности отправку видео файла на AppSee: нельзя передавать с номером карты (PAN) дату истечения и имя владельца. Про телефон я вообще молчу. Это прямое нарушение PCI DSS в частности и здравого смысла вообще. Обычный MITM в публичном WiFi организовать утечку ДДК, а номер телефона — вообще легчайший способ получить дубликат sim карты в любом отделении с помощью имени владельца и базовых навыков графического редактора.
Сама компания Burger King прошла проверку стандартам, а значит попадает под все карательные меры, а именно:
- Крупные денежные штрафы
- Повторные аудиты QSA
- Понижение уровня сертификации
В заключение хочу добавить, что такие стандарты как GDPR или 152-ФЗ, к которым апеллируют, действуют на определенных геополитических областях, в то время как PCI DSS — это международный стандарт платежных систем и нарушать его нельзя нигде.
Комментарии (66)
tvr
14.07.2018 11:08+7Неделя Бургер Кинга на хабре продолжается?
hdfan2
14.07.2018 17:04Астрологи объявили неделю Бургер Кинга на хабре. Количество статей удваивается каждый день.
stalinets
14.07.2018 11:29А что насчёт множества других подобных приложений? Может, там аналогичные «приколы»? Вот бы кто знающий поковырялся и написал статью.
Mabusius
14.07.2018 11:50+7Поре делать отдельный хаб про Бургер Кинг…
mikhaelkh
14.07.2018 12:58+4… чтобы мы могли от него отписаться.
Oplkill
14.07.2018 15:43+1В пикабу для этого существует удобная система подписки/отписки не только по хабу(там это сообщества), но и по отдельным тегам. Странно, что подобного рода функционал не сделают тут
JediPhilosopher
14.07.2018 18:02Ничего странного, тогда все разом отпишутся от большинства корпоративных блогов, чтобы не видеть в ленте их маркетинговый буллшит, и ТМ потеряет деньги.
Oplkill
14.07.2018 18:13Таким образом будут теряться пользователи только. Если нет возможности отфильтровать гуано, то пользователь будет либо прокручивать такие посты, либо ливать с сайта и никогда больше не заходить(за исключением отдельных постов показавшиеся в поисковике)
Почему тот же Пикабу с офигенно большой аудиторией(которая растёт тоже быстро, по сравнению с хабром) и большими по хранимому месту серверами(все картинки/гифки, коих с каждым днём неуклонно растёт и практически все они не удаляются вообще), не имея платных корпоративных блогов, а имея обычную рекламу от яндекса, которая есть и на хабре и редкие рекламные посты(в ленту встраиваются стилизированные под пост реклама) не только живут припеваючи, но и активно развиваются по функциональной части сайтаsim2q
14.07.2018 20:37… и прикол в том, что бывало искал что-то по технической теме и помимо обычно хороших, проработанных пару статей на хабре, находилось что то и на пикабу, но с более практическим уклоном.
Vlad_IT
14.07.2018 21:29не имея платных корпоративных блогов, а имея обычную рекламу от яндекса
Там платные посты есть, которые закреплены вверху и не поддаются adblock'у (т.к. это обычный пост). А также сверху огромная картинка, которая поддается adblock'у, но шапка становится ужасно серой при удалении рекламы.
AlexZyl
16.07.2018 07:25Нейтральным решением могла бы быть возможность прятать посты из ленты. Открыл, пролистал, выбрал посты которые «гуано, неинтересно, прочел-и-забыл» и дропнул. И вот лента уже не шесть страниц, а две.
AllexIn
14.07.2018 12:03-4ХВАТИТ.
Вы вообще ничего нового и интересного не написали, зачем ваш пост???dom1n1k
14.07.2018 12:38+1Видимо, БК сейчас играет роль «Зимней вишни» — должна подняться волна интереса к теме и проверок аналогов. Правда, как показывает практика, волна не слишком надолго.
Xalium
14.07.2018 12:59+5как это ничего нового и интересного? В других постах про Бургер Кинг не упоминалось про PCI DSS.
MrNaziCriminal
14.07.2018 12:42-17Ебать бургеркинг, ебать!
rt3879439
14.07.2018 13:41А вот интересно, везде рекламируют так: «скачай наше приложение и получи скидки, халяву, итдитп». Упор именно на скачай, а не на установи. Например если я скачиваю apk через yalp, но не устанавливаю, могу ли я требовать скидок и прочей халявы на законном основании?
dartraiden
14.07.2018 13:45Могут сослаться на то, что вы нарушили правила использования Google Play. Google не разрешает пользоваться сторонними клиентами, хотя и не наказывает за это (пока).
LoadRunner
14.07.2018 14:01Условием получения скидки является заказ через приложение, а не факт его скачивания. Данные маркетинговые заявления не являются публичной офертой.
SarcasticMessage
14.07.2018 14:15Ну конечно. Вы вполне можете рассчитывать на скидку в 0% и на бесплатное то, что найдёте в мусорных баках с логотипом компании. Я, правда, не уверен нет ли каких юридических ограничений на копание в мусорках, но скидка ваша однозначно!
POS_troi
14.07.2018 16:06Есть.
Весь мусор в баке принадлежит компании с которой договор на вывоз мусора :)
old_bear
14.07.2018 15:10-2Подскажите, что надо нажать в настройках, чтобы статьи со словами «Бургер Кинг» не отображались в моей ленте?
P.S. Упреждая возражения вида «это и тебя касается» — я пользуюсь кнопочным телефоном и не собираюсь это менять в обозримом будущем.
FrankSinatra
14.07.2018 15:111) AppSee — это, malware-сервис
С чего вы это вдруг решили, они с 2012 года работают, являются крупным сервисом сбора аналитики. От таких доводов и фейсбук тоже malware-сервис.
2) Как видно из перехваченного видео — данные передаются без какой-либо обработки
Не видно. Видео снимается на клиенте, куда приходит JSON конфиг, который можно подменить.
3) Представители Burger King заняли позицию, что они ничего не нарушают, так как данные от AppSee им уже приходят после обработки и они не видят в них ДДК, как они утверждают.
Вполне себе позиция, презумпция невиновности.Chamie
14.07.2018 17:39+1От таких доводов и фейсбук тоже malware-сервис.
Ну, если говорить об их мобильном приложении, то я так к нему и отношусь.
Hardcoin
14.07.2018 22:59+2Нет, не позиция. Во-первых, выбор подрядчика/сервиса — это их дело. Во-вторых, презумпция невиновности в гражданских делах не применяется (и это правильно). Применяется состязательность сторон.
Ernillgeek
15.07.2018 01:06Как же я люблю, когда люди ничего не знающие о юриспруденции начинают про презумпцию невиновности. Вы уж извините, но ее нет в данном случае. Вообще. И быть не может. Дело не уголовное. В уголовном праве она есть, а в праве гражданском нет и быть не может, не место ей тут.
Не позорьтесь
Sabubu
14.07.2018 20:17+3Насчет AppSee — это просто инструмент. Разработчик осознанно подключает его и добавляет в свое приложение, и ответственность должна быть на нем.
AppSee предоставляет возможность помечать области экрана с чувствительными данными, и прописал в договор пункт об этом, но естественно никак это не контролирует. Понятно, что большинство разработчиков скорее всего не станет с этим заморачиваться, что мы и видим в случае с БК, которые не закрыли номер телефона в заголовке приложения в записываемом видео.
vedenin1980
14.07.2018 22:26+1Скорее AppSee лучше было бы иметь переключатель на приложении или возможность отключить переключение замыливания с сервера. Иначе система становится небезопасной by design: админ компании чуть подшаманит с настройками и у него куча приматной информаии, включая номера карт, которые он может слить на черном рынке. Это как билинг, дающий любому оператору рутовские полномочия на любые изменения без истории.
ragimovich
14.07.2018 22:28+4Обычный MITM в публичном WiFi организовать утечку ДДК
Покажите, пожалуйста, пример HTTPS MITM. Я согласен даже на "необычный", который не включает в себя нож к горлу владельца мобильного, если "обычный" окажется слишком сложным.
maxzhurkin
15.07.2018 10:39Сертификаты не проверяются приложением, как я понял, так что, легко
ragimovich
15.07.2018 10:51Вы ошибаетесь. Сертификаты проверяются приложением и наш "исследователь" установил в систему свой CA сертификат, чтобы обойти эту проверку. Поэтому я и уточнил "без ножа к горлу".
Да, у AppSee нет HSTS, но это немного про другое и простых методов использования этой уязвимости нет. Вернее, если у вас есть возможность ее использовать, выгоднее идти и сразу ломать Сбербанк Онлайн — там тоже нет HSTS, а процент тех у кого есть карточка сбера явно больше чем процент тех, кто будет в бургерной в первый раз подключать карточку.
OKyJIucT
15.07.2018 10:52Я конечно могу ошибаться, но так работает приложение AdGuard. Оно предлагает установить собственный корневой сертификат для фильтрации от рекламы https трафика.
И получается, что все сервисы и сайты шифруют трафик до AdGuard, он расшифровывает, вырезает рекламу, зашифровывает и отправляет приложению на устройстве. Никакого ножа к горлу, юзер по своей воле устанавливает корневой сертификат, чтобы повысить качество работы приложения.
То же самое можно сделать и под другим предлогом. И это приложение будет тем самым человеком посередине, и спокойно может отправлять расшифрованные данные на сервер для различных целей.
ragimovich
15.07.2018 12:18+1Вы же понимаете, что после установки в систему "левого" CA аналитика AppSee это меньшая из ваших потенциальных проблем? Ну, т.е. вы же понимаете, что все данные из браузера окажутся в свободном доступе. Да и cert pinning используется в основном в финансовых приложениях (года 3 назад этим даже VK не заморачивался), что говорить об остальных.
Про установку и использование AdGuard я вообще промолчу. Ставить прокси приложение без исходников и добавлять его CA в систему для борьбы со слежкой — ОЧЕНЬ странная затея. На основании чего пользователи верят им, но не верят AppSee, которая утверждает, что никакие данные никуда не передаются? Я предполагаю, потому что пользователям никто не объяснил, как это работает и к чему подобное приложение имеет доступ, а сами они никогда не задумывались над этим вопросом. Это, кстати, идея для нашего Фенька — можно разоблачить AdGuard.
OKyJIucT
15.07.2018 15:27В своей базе знаний о недостатках такого подхода они пишут следующее:
«Тем не менее, фильтрация HTTPS имеет некоторые недостатки. Самым важным из них является то, что она скрывает от браузера свойства реального сертификата, используемого сайтом. Вместо этого браузер видит сертификат, сгенерированный AdGuard».
Кроме того, по их заявлениям, они делают исключения в фильтрации для более чем 1300 сервисов с финансовой и другой важной приватной информацией.
Все те ужасы, вполне вероятные и обоснованные, на мой взгляд, о которых написали вы, не упоминаются по понятным причинам.ragimovich
15.07.2018 16:03+1они делают исключения в фильтрации для более чем 1300 сервисов с финансовой и другой важной приватной информацией
AppSee/e-Legion/BK тоже заявляют, но им это, как мы видим, не особо помогает — толпа лютует. Но та же толпа рекомендует друг другу добавлять appsee в AdGuard для защиты.
Счастье в неведении. Как думаете, какой процент пользователей Adguard читал документацию? Я думаю, не больше 1%. Зачем ее читать, если друг Вася посоветовал. Друг Вася плохого советовать не станет. Люди не читают документацию, а верят другим людям, надеясь на то, что эти "другие люди" её прочли. В итоге никто её не читает. И уж тем более никто не пытается разбираться, что происходит внутри этой черной коробки с монитором — ВК/ОК загружаются и отлично. И вот это отсутствие желания разбираться и святая вера в "простого человека" приводят к тому, что население начинает верить любому чудаку, который с умным видом и картинками (а уж если с видео, так вообще 100% правда) объясняет им, что их пытаются обмануть злые корпорации/правительство/рептилоиды. Причем это относится не только к этому случаю и IT. Проблема глобальнее. Отказники от прививок, враги ГМО, свидетели химтрейлов или адепты плоской Земли, все они олицетворяют собой одну проблему — при недостатке знаний и отсутствии доверия к власти, население начинает больше верить "простому человеку", а не "коварному вождю/корпорации". И не важно, что "простым человеком" могут двигать не совсем благородные цели, а, в лучшем случае, психиатрические нарушения и/или невежество, толпа рада верить тому, что их сомнения в существовании заговора не беспочвенны. Ведь согласитесь, всегда приятнее знать, что все неудачи в твоей жизни результат воздействия третьих сил, а не твои личные просчеты. Особенно это заметно в странах вроде нашей, где паранойя существует не только сама по себе, но она еще и подпитывается той самой властью через СМИ — кругом враги, будь бдителен. Результат налицо — мы не поняли, что там произошло, но давайте сожжем БК и легион заодно, ибо нефиг.
redpax
15.07.2018 03:16Меня другое пугает. Выходит любое приложение прошедшее в аппстор теоритически может записывать видео с моего экрана и мои банковский данные. Я думаю тут рекошет должен и по Эппал попасть.
elmigranto
15.07.2018 07:01Нет, экран приложение может записывать только свой. Условный бургер кинг не сможет заскриншотить условный вконтакте.
Бить тревогу рано, так как приложение и без этого имеет доступ к своей собственной памяти и всем хранящимся там данным. Проблема в том, что с этими данными владелец приложения делает.
IGHOR
15.07.2018 13:55Обычный MITM в публичном WiFi организовать утечку ДДК
Не вводите людей в заблуждение, «обычный MITM» никак не даст возможность обойти ssl подключение в приложениях без физического доступа к устройству.
AlexPanych
16.07.2018 07:27Да и старт темы вроде как совпадает с принятием стандарта:
«10.07.2018, 11:40 Текст:
Сергей Куликов
Росстандарт своим приказом утвердил предварительный национальный стандарт 277-2018 „Российская система качества. Сравнительные испытания мобильных приложений для смартфонов“. Сообщение об этом опубликовано сегодня на сайте ведомства.»
Так что тему с Кингом можно рассматривать как подготовкупочвыобщественного мнения для блокировки приложений, т.к. уже были сообщения, что за несоответствие стандарту приложения будут блокировать.
denis-19
16.07.2018 07:27Тогда уже всех кто в этом заляпался пишите:
разработчик приложения e-Legion
Chief digital officer at Burger King Sergey Ocheretin www.facebook.com/profile.php?id=100004299134677
Andrey_Rogovsky Автор
Первонах
В компании, которая прошла стандарты PCI — все должно им соответствовать: сертификаты, хостинг, сервисы, приложения, рабочие станции, хранилища итд.
AppSee следовало бы использовать PCI P2PE технологию, например — при формировании видеопотока шифровать его публичным EV сертификатом от AppSee. Тогда AppSee могла бы пройти сертификацию PCI DSS.
А Burger King мог бы воспользоваться альтернативным, возможно более дорогим сервисом, который был бы попадал под требования PCI DSS.
like_the_sun
Куда передаются? Поля закрашиваются на стороне клиента.
Andrey_Rogovsky Автор
На перехваченном видео явно видно, что ничего не закрашивается. Да и потом, распознать поле в видео файле задача нетривиальная для слабых приложений смартфонов.
bjornd
Ссылка? Я видел только видео с закрытыми полями.
Andrey_Rogovsky Автор
Так может вы и не читали этот пост?
daspisch
Видео выложенное там — фейк
Andrey_Rogovsky Автор
Доказательства?
like_the_sun
Пока опубликованы видео и с закрашенными полями, и без.
Причем версия без закрашенных полей подвергалась сомнениям из-за завышенного битрейта.
В любом случае, с вашей стороны было бы корректнее самому провести опыт, а не слепая вера и клепание поста.
bjornd
Если долго рассусоливать, то можно на успеть оседлать поднявшуюся волну.
Andrey_Rogovsky Автор
Мне нет никакой необходимости проводить эти опыты, так как AppSee не сертифицирована по стандартам PCI DSS, а значит априори не может использоваться для интеграции в мобильное приложение.
Кроме того, я позволю себе усомниться в том, что эта malware умеет динамически распознавать формы и рисовать поверх них квадратики, так как это требует некоторых CPU/GPU мощностей.
alvin777
Зачем формы-то распознавать? Библиотечка может пройтись по иерархии вьюшек текущего окна и взять rect'ы всех UITextField'ов.
SemaIVVV
Ну, человек не разработчик (и тем более не веб разработчик), откуда ему знать, что никаких мощностей не нужно, чтобы «стырить» данные. А вот защитить их — тут как раз всё наоборот :)
covobo
А поле для набора текста обязательно должно быть подвидом UIText*?
like_the_sun
Цитата с хабра про PCI DSS:
Я вам говорю, что вы проверьте, передает ли приложение эти данные, вы же говорите, что приложение что-то там нарушает передавая номер карты и тд, хотя ваших доказательств передачи нет.
Достоверность чужих — под вопросом, а значит и ваших утверждений тоже.