Comments 64
В компании, которая прошла стандарты PCI — все должно им соответствовать: сертификаты, хостинг, сервисы, приложения, рабочие станции, хранилища итд.
AppSee следовало бы использовать PCI P2PE технологию, например — при формировании видеопотока шифровать его публичным EV сертификатом от AppSee. Тогда AppSee могла бы пройти сертификацию PCI DSS.
А Burger King мог бы воспользоваться альтернативным, возможно более дорогим сервисом, который был бы попадал под требования PCI DSS.
Как видно из перехваченного видео — данные передаются без какой-либо обработки, а уже в самом AppSee видео обрабатывается и данные держателей карт (ДДК) закрашиваются черными квадратами, как они утверждают
Куда передаются? Поля закрашиваются на стороне клиента.
Причем версия без закрашенных полей подвергалась сомнениям из-за завышенного битрейта.
В любом случае, с вашей стороны было бы корректнее самому провести опыт, а не слепая вера и клепание поста.
Кроме того, я позволю себе усомниться в том, что эта malware умеет динамически распознавать формы и рисовать поверх них квадратики, так как это требует некоторых CPU/GPU мощностей.
отправку видео файла на AppSee: нельзя передавать с номером карты (PAN) дату истечения и имя владельца.Про телефон я вообще молчу. Это прямое нарушение PCI DSS в частности и здравого смысла вообще.
Цитата с хабра про PCI DSS:
PCI DSS — это стандарт безопасности, который применяется для всех организаций сферы обработки платежных карт: торговых точек, процессинговых центров, финансовых учреждений и поставщиков услуг, а также других организаций, которые хранят, обрабатывают или передают данные держателей карт и (или) критичные аутентификационные данные.
Я вам говорю, что вы проверьте, передает ли приложение эти данные, вы же говорите, что приложение что-то там нарушает передавая номер карты и тд, хотя ваших доказательств передачи нет.
Достоверность чужих — под вопросом, а значит и ваших утверждений тоже.
Астрологи объявили неделю Бургер Кинга на хабре. Количество статей удваивается каждый день.
не имея платных корпоративных блогов, а имея обычную рекламу от яндекса
Там платные посты есть, которые закреплены вверху и не поддаются adblock'у (т.к. это обычный пост). А также сверху огромная картинка, которая поддается adblock'у, но шапка становится ужасно серой при удалении рекламы.
Вы вообще ничего нового и интересного не написали, зачем ваш пост???
Что грозит
Ничего
P.S. Упреждая возражения вида «это и тебя касается» — я пользуюсь кнопочным телефоном и не собираюсь это менять в обозримом будущем.
1) AppSee — это, malware-сервис
С чего вы это вдруг решили, они с 2012 года работают, являются крупным сервисом сбора аналитики. От таких доводов и фейсбук тоже malware-сервис.
2) Как видно из перехваченного видео — данные передаются без какой-либо обработки
Не видно. Видео снимается на клиенте, куда приходит JSON конфиг, который можно подменить.
3) Представители Burger King заняли позицию, что они ничего не нарушают, так как данные от AppSee им уже приходят после обработки и они не видят в них ДДК, как они утверждают.
Вполне себе позиция, презумпция невиновности.
От таких доводов и фейсбук тоже malware-сервис.Ну, если говорить об их мобильном приложении, то я так к нему и отношусь.
Нет, не позиция. Во-первых, выбор подрядчика/сервиса — это их дело. Во-вторых, презумпция невиновности в гражданских делах не применяется (и это правильно). Применяется состязательность сторон.
Не позорьтесь
AppSee предоставляет возможность помечать области экрана с чувствительными данными, и прописал в договор пункт об этом, но естественно никак это не контролирует. Понятно, что большинство разработчиков скорее всего не станет с этим заморачиваться, что мы и видим в случае с БК, которые не закрыли номер телефона в заголовке приложения в записываемом видео.
Обычный MITM в публичном WiFi организовать утечку ДДК
Покажите, пожалуйста, пример HTTPS MITM. Я согласен даже на "необычный", который не включает в себя нож к горлу владельца мобильного, если "обычный" окажется слишком сложным.
Вы ошибаетесь. Сертификаты проверяются приложением и наш "исследователь" установил в систему свой CA сертификат, чтобы обойти эту проверку. Поэтому я и уточнил "без ножа к горлу".
Да, у AppSee нет HSTS, но это немного про другое и простых методов использования этой уязвимости нет. Вернее, если у вас есть возможность ее использовать, выгоднее идти и сразу ломать Сбербанк Онлайн — там тоже нет HSTS, а процент тех у кого есть карточка сбера явно больше чем процент тех, кто будет в бургерной в первый раз подключать карточку.
Я конечно могу ошибаться, но так работает приложение AdGuard. Оно предлагает установить собственный корневой сертификат для фильтрации от рекламы https трафика.
И получается, что все сервисы и сайты шифруют трафик до AdGuard, он расшифровывает, вырезает рекламу, зашифровывает и отправляет приложению на устройстве. Никакого ножа к горлу, юзер по своей воле устанавливает корневой сертификат, чтобы повысить качество работы приложения.
То же самое можно сделать и под другим предлогом. И это приложение будет тем самым человеком посередине, и спокойно может отправлять расшифрованные данные на сервер для различных целей.
Вы же понимаете, что после установки в систему "левого" CA аналитика AppSee это меньшая из ваших потенциальных проблем? Ну, т.е. вы же понимаете, что все данные из браузера окажутся в свободном доступе. Да и cert pinning используется в основном в финансовых приложениях (года 3 назад этим даже VK не заморачивался), что говорить об остальных.
Про установку и использование AdGuard я вообще промолчу. Ставить прокси приложение без исходников и добавлять его CA в систему для борьбы со слежкой — ОЧЕНЬ странная затея. На основании чего пользователи верят им, но не верят AppSee, которая утверждает, что никакие данные никуда не передаются? Я предполагаю, потому что пользователям никто не объяснил, как это работает и к чему подобное приложение имеет доступ, а сами они никогда не задумывались над этим вопросом. Это, кстати, идея для нашего Фенька — можно разоблачить AdGuard.
«Тем не менее, фильтрация HTTPS имеет некоторые недостатки. Самым важным из них является то, что она скрывает от браузера свойства реального сертификата, используемого сайтом. Вместо этого браузер видит сертификат, сгенерированный AdGuard».
Кроме того, по их заявлениям, они делают исключения в фильтрации для более чем 1300 сервисов с финансовой и другой важной приватной информацией.
Все те ужасы, вполне вероятные и обоснованные, на мой взгляд, о которых написали вы, не упоминаются по понятным причинам.
они делают исключения в фильтрации для более чем 1300 сервисов с финансовой и другой важной приватной информацией
AppSee/e-Legion/BK тоже заявляют, но им это, как мы видим, не особо помогает — толпа лютует. Но та же толпа рекомендует друг другу добавлять appsee в AdGuard для защиты.
Счастье в неведении. Как думаете, какой процент пользователей Adguard читал документацию? Я думаю, не больше 1%. Зачем ее читать, если друг Вася посоветовал. Друг Вася плохого советовать не станет. Люди не читают документацию, а верят другим людям, надеясь на то, что эти "другие люди" её прочли. В итоге никто её не читает. И уж тем более никто не пытается разбираться, что происходит внутри этой черной коробки с монитором — ВК/ОК загружаются и отлично. И вот это отсутствие желания разбираться и святая вера в "простого человека" приводят к тому, что население начинает верить любому чудаку, который с умным видом и картинками (а уж если с видео, так вообще 100% правда) объясняет им, что их пытаются обмануть злые корпорации/правительство/рептилоиды. Причем это относится не только к этому случаю и IT. Проблема глобальнее. Отказники от прививок, враги ГМО, свидетели химтрейлов или адепты плоской Земли, все они олицетворяют собой одну проблему — при недостатке знаний и отсутствии доверия к власти, население начинает больше верить "простому человеку", а не "коварному вождю/корпорации". И не важно, что "простым человеком" могут двигать не совсем благородные цели, а, в лучшем случае, психиатрические нарушения и/или невежество, толпа рада верить тому, что их сомнения в существовании заговора не беспочвенны. Ведь согласитесь, всегда приятнее знать, что все неудачи в твоей жизни результат воздействия третьих сил, а не твои личные просчеты. Особенно это заметно в странах вроде нашей, где паранойя существует не только сама по себе, но она еще и подпитывается той самой властью через СМИ — кругом враги, будь бдителен. Результат налицо — мы не поняли, что там произошло, но давайте сожжем БК и легион заодно, ибо нефиг.
Меня другое пугает. Выходит любое приложение прошедшее в аппстор теоритически может записывать видео с моего экрана и мои банковский данные. Я думаю тут рекошет должен и по Эппал попасть.
Нет, экран приложение может записывать только свой. Условный бургер кинг не сможет заскриншотить условный вконтакте.
Бить тревогу рано, так как приложение и без этого имеет доступ к своей собственной памяти и всем хранящимся там данным. Проблема в том, что с этими данными владелец приложения делает.
Обычный MITM в публичном WiFi организовать утечку ДДК
Не вводите людей в заблуждение, «обычный MITM» никак не даст возможность обойти ssl подключение в приложениях без физического доступа к устройству.
«10.07.2018, 11:40 Текст:
Сергей Куликов
Росстандарт своим приказом утвердил предварительный национальный стандарт 277-2018 „Российская система качества. Сравнительные испытания мобильных приложений для смартфонов“. Сообщение об этом опубликовано сегодня на сайте ведомства.»
Так что тему с Кингом можно рассматривать как подготовку
разработчик приложения e-Legion
Chief digital officer at Burger King Sergey Ocheretin www.facebook.com/profile.php?id=100004299134677
Что грозит Burger King