Что грозит Burger King

    Для тех, кто еще не читал новости о том, как Burger King в своем мобильном приложении интегрировал нежелательное программное обеспечение AppSee, публикую краткую информацию:

    • AppSee — это malware-сервис, который можно интегрировать в мобильное приложение и получить видеозапись экрана для какой-то там аналитики;
    • Как видно из перехваченного видео — данные передаются без какой-либо обработки, а уже в самом AppSee видео обрабатывается и данные держателей карт (ДДК) закрашиваются черными квадратами, как они утверждают;
    • Представители Burger King заняли позицию, что они ничего не нарушают, так как данные от AppSee им уже приходят после обработки и они не видят в них ДДК, как они утверждают.

    Даже если поверить, что оба утверждения верные, то все равно Burger King своими действиями нарушает стандарт безопасности отправку видео файла на AppSee: нельзя передавать с номером карты (PAN) дату истечения и имя владельца. Про телефон я вообще молчу. Это прямое нарушение PCI DSS в частности и здравого смысла вообще. Обычный MITM в публичном WiFi организовать утечку ДДК, а номер телефона — вообще легчайший способ получить дубликат sim карты в любом отделении с помощью имени владельца и базовых навыков графического редактора.

    Сама компания Burger King прошла проверку стандартам, а значит попадает под все карательные меры, а именно:

    1. Крупные денежные штрафы
    2. Повторные аудиты QSA
    3. Понижение уровня сертификации

    В заключение хочу добавить, что такие стандарты как GDPR или 152-ФЗ, к которым апеллируют, действуют на определенных геополитических областях, в то время как PCI DSS — это международный стандарт платежных систем и нарушать его нельзя нигде.
    Поделиться публикацией
    Комментарии 69
      –15
      Первонах

      В компании, которая прошла стандарты PCI — все должно им соответствовать: сертификаты, хостинг, сервисы, приложения, рабочие станции, хранилища итд.

      AppSee следовало бы использовать PCI P2PE технологию, например — при формировании видеопотока шифровать его публичным EV сертификатом от AppSee. Тогда AppSee могла бы пройти сертификацию PCI DSS.

      А Burger King мог бы воспользоваться альтернативным, возможно более дорогим сервисом, который был бы попадал под требования PCI DSS.
        –4
        Как видно из перехваченного видео — данные передаются без какой-либо обработки, а уже в самом AppSee видео обрабатывается и данные держателей карт (ДДК) закрашиваются черными квадратами, как они утверждают

        Куда передаются? Поля закрашиваются на стороне клиента.
          +3
          На перехваченном видео явно видно, что ничего не закрашивается. Да и потом, распознать поле в видео файле задача нетривиальная для слабых приложений смартфонов.
            –3
            Ссылка? Я видел только видео с закрытыми полями.
              +2
              Так может вы и не читали этот пост?
                –3
                Видео выложенное там — фейк
                  +1
                  Доказательства?
                  • НЛО прилетело и опубликовало эту надпись здесь
              +5
              Пока опубликованы видео и с закрашенными полями, и без.
              Причем версия без закрашенных полей подвергалась сомнениям из-за завышенного битрейта.
              В любом случае, с вашей стороны было бы корректнее самому провести опыт, а не слепая вера и клепание поста.
                +9
                Если долго рассусоливать, то можно на успеть оседлать поднявшуюся волну.
                  +1
                  Мне нет никакой необходимости проводить эти опыты, так как AppSee не сертифицирована по стандартам PCI DSS, а значит априори не может использоваться для интеграции в мобильное приложение.
                  Кроме того, я позволю себе усомниться в том, что эта malware умеет динамически распознавать формы и рисовать поверх них квадратики, так как это требует некоторых CPU/GPU мощностей.

                    +5
                    Зачем формы-то распознавать? Библиотечка может пройтись по иерархии вьюшек текущего окна и взять rect'ы всех UITextField'ов.
                      +4
                      Ну, человек не разработчик (и тем более не веб разработчик), откуда ему знать, что никаких мощностей не нужно, чтобы «стырить» данные. А вот защитить их — тут как раз всё наоборот :)
                        0
                        А поле для набора текста обязательно должно быть подвидом UIText*?
                        • НЛО прилетело и опубликовало эту надпись здесь
                        +4
                        отправку видео файла на AppSee: нельзя передавать с номером карты (PAN) дату истечения и имя владельца.Про телефон я вообще молчу. Это прямое нарушение PCI DSS в частности и здравого смысла вообще.


                        Цитата с хабра про PCI DSS:
                        PCI DSS — это стандарт безопасности, который применяется для всех организаций сферы обработки платежных карт: торговых точек, процессинговых центров, финансовых учреждений и поставщиков услуг, а также других организаций, которые хранят, обрабатывают или передают данные держателей карт и (или) критичные аутентификационные данные.


                        Я вам говорю, что вы проверьте, передает ли приложение эти данные, вы же говорите, что приложение что-то там нарушает передавая номер карты и тд, хотя ваших доказательств передачи нет.
                        Достоверность чужих — под вопросом, а значит и ваших утверждений тоже.
                +15
                Неделя Бургер Кинга на хабре продолжается?
                  +13
                  Не знаю как Вы, а я этими темами уже наелся.
                    +24
                    Возьмите купон и приведите друга!
                    0
                    Я думаю, что все только начинается
                      +3

                      Астрологи объявили неделю Бургер Кинга на хабре. Количество статей удваивается каждый день.

                        0
                        Пусть лучше БГ, чем про нейронные сети.
                          0
                          А что, про БГ тут тоже что-то пишут?
                        +1
                        А что насчёт множества других подобных приложений? Может, там аналогичные «приколы»? Вот бы кто знающий поковырялся и написал статью.
                          +14
                          Поре делать отдельный хаб про Бургер Кинг…
                            +21
                            … чтобы мы могли от него отписаться.
                              0
                              В пикабу для этого существует удобная система подписки/отписки не только по хабу(там это сообщества), но и по отдельным тегам. Странно, что подобного рода функционал не сделают тут
                                +2
                                Ничего странного, тогда все разом отпишутся от большинства корпоративных блогов, чтобы не видеть в ленте их маркетинговый буллшит, и ТМ потеряет деньги.
                                  +1
                                  Таким образом будут теряться пользователи только. Если нет возможности отфильтровать гуано, то пользователь будет либо прокручивать такие посты, либо ливать с сайта и никогда больше не заходить(за исключением отдельных постов показавшиеся в поисковике)
                                  Почему тот же Пикабу с офигенно большой аудиторией(которая растёт тоже быстро, по сравнению с хабром) и большими по хранимому месту серверами(все картинки/гифки, коих с каждым днём неуклонно растёт и практически все они не удаляются вообще), не имея платных корпоративных блогов, а имея обычную рекламу от яндекса, которая есть и на хабре и редкие рекламные посты(в ленту встраиваются стилизированные под пост реклама) не только живут припеваючи, но и активно развиваются по функциональной части сайта
                                    0
                                    … и прикол в том, что бывало искал что-то по технической теме и помимо обычно хороших, проработанных пару статей на хабре, находилось что то и на пикабу, но с более практическим уклоном.
                                      0
                                      не имея платных корпоративных блогов, а имея обычную рекламу от яндекса
                                      Там платные посты есть, которые закреплены вверху и не поддаются adblock'у (т.к. это обычный пост). А также сверху огромная картинка, которая поддается adblock'у, но шапка становится ужасно серой при удалении рекламы.
                                        0
                                        Нейтральным решением могла бы быть возможность прятать посты из ленты. Открыл, пролистал, выбрал посты которые «гуано, неинтересно, прочел-и-забыл» и дропнул. И вот лента уже не шесть страниц, а две.
                                +5
                                ХВАТИТ.
                                Вы вообще ничего нового и интересного не написали, зачем ваш пост???
                                  +3
                                  Видимо, БК сейчас играет роль «Зимней вишни» — должна подняться волна интереса к теме и проверок аналогов. Правда, как показывает практика, волна не слишком надолго.
                                    +9
                                    как это ничего нового и интересного? В других постах про Бургер Кинг не упоминалось про PCI DSS.
                                    –4
                                    Правда есть, она не может не есть
                                      0
                                      Что грозит
                                      Ничего
                                        0
                                        А вот интересно, везде рекламируют так: «скачай наше приложение и получи скидки, халяву, итдитп». Упор именно на скачай, а не на установи. Например если я скачиваю apk через yalp, но не устанавливаю, могу ли я требовать скидок и прочей халявы на законном основании?
                                          0
                                          Могут сослаться на то, что вы нарушили правила использования Google Play. Google не разрешает пользоваться сторонними клиентами, хотя и не наказывает за это (пока).
                                            0
                                            Условием получения скидки является заказ через приложение, а не факт его скачивания. Данные маркетинговые заявления не являются публичной офертой.
                                              0
                                              Ну конечно. Вы вполне можете рассчитывать на скидку в 0% и на бесплатное то, что найдёте в мусорных баках с логотипом компании. Я, правда, не уверен нет ли каких юридических ограничений на копание в мусорках, но скидка ваша однозначно!
                                                0
                                                Есть.
                                                Весь мусор в баке принадлежит компании с которой договор на вывоз мусора :)
                                                0
                                                А если скачать и установить его на виртуальную машину с Android?
                                                –2
                                                Подскажите, что надо нажать в настройках, чтобы статьи со словами «Бургер Кинг» не отображались в моей ленте?
                                                P.S. Упреждая возражения вида «это и тебя касается» — я пользуюсь кнопочным телефоном и не собираюсь это менять в обозримом будущем.
                                                  +1
                                                  Хайпанём немножечко.
                                                    +3
                                                    1) AppSee — это, malware-сервис

                                                    С чего вы это вдруг решили, они с 2012 года работают, являются крупным сервисом сбора аналитики. От таких доводов и фейсбук тоже malware-сервис.
                                                    2) Как видно из перехваченного видео — данные передаются без какой-либо обработки

                                                    Не видно. Видео снимается на клиенте, куда приходит JSON конфиг, который можно подменить.
                                                    3) Представители Burger King заняли позицию, что они ничего не нарушают, так как данные от AppSee им уже приходят после обработки и они не видят в них ДДК, как они утверждают.

                                                    Вполне себе позиция, презумпция невиновности.
                                                      +2
                                                      От таких доводов и фейсбук тоже malware-сервис.
                                                      Ну, если говорить об их мобильном приложении, то я так к нему и отношусь.
                                                        +2

                                                        Нет, не позиция. Во-первых, выбор подрядчика/сервиса — это их дело. Во-вторых, презумпция невиновности в гражданских делах не применяется (и это правильно). Применяется состязательность сторон.

                                                          0
                                                          Как же я люблю, когда люди ничего не знающие о юриспруденции начинают про презумпцию невиновности. Вы уж извините, но ее нет в данном случае. Вообще. И быть не может. Дело не уголовное. В уголовном праве она есть, а в праве гражданском нет и быть не может, не место ей тут.
                                                          Не позорьтесь
                                                            0
                                                            Сорри, не туда запостил
                                                          +3
                                                          Насчет AppSee — это просто инструмент. Разработчик осознанно подключает его и добавляет в свое приложение, и ответственность должна быть на нем.

                                                          AppSee предоставляет возможность помечать области экрана с чувствительными данными, и прописал в договор пункт об этом, но естественно никак это не контролирует. Понятно, что большинство разработчиков скорее всего не станет с этим заморачиваться, что мы и видим в случае с БК, которые не закрыли номер телефона в заголовке приложения в записываемом видео.

                                                            +1
                                                            Скорее AppSee лучше было бы иметь переключатель на приложении или возможность отключить переключение замыливания с сервера. Иначе система становится небезопасной by design: админ компании чуть подшаманит с настройками и у него куча приматной информаии, включая номера карт, которые он может слить на черном рынке. Это как билинг, дающий любому оператору рутовские полномочия на любые изменения без истории.
                                                            +4
                                                            Обычный MITM в публичном WiFi организовать утечку ДДК

                                                            Покажите, пожалуйста, пример HTTPS MITM. Я согласен даже на "необычный", который не включает в себя нож к горлу владельца мобильного, если "обычный" окажется слишком сложным.

                                                              0
                                                              Сертификаты не проверяются приложением, как я понял, так что, легко
                                                                0

                                                                Вы ошибаетесь. Сертификаты проверяются приложением и наш "исследователь" установил в систему свой CA сертификат, чтобы обойти эту проверку. Поэтому я и уточнил "без ножа к горлу".


                                                                Да, у AppSee нет HSTS, но это немного про другое и простых методов использования этой уязвимости нет. Вернее, если у вас есть возможность ее использовать, выгоднее идти и сразу ломать Сбербанк Онлайн — там тоже нет HSTS, а процент тех у кого есть карточка сбера явно больше чем процент тех, кто будет в бургерной в первый раз подключать карточку.

                                                                0

                                                                Я конечно могу ошибаться, но так работает приложение AdGuard. Оно предлагает установить собственный корневой сертификат для фильтрации от рекламы https трафика.


                                                                И получается, что все сервисы и сайты шифруют трафик до AdGuard, он расшифровывает, вырезает рекламу, зашифровывает и отправляет приложению на устройстве. Никакого ножа к горлу, юзер по своей воле устанавливает корневой сертификат, чтобы повысить качество работы приложения.


                                                                То же самое можно сделать и под другим предлогом. И это приложение будет тем самым человеком посередине, и спокойно может отправлять расшифрованные данные на сервер для различных целей.

                                                                  +1

                                                                  Вы же понимаете, что после установки в систему "левого" CA аналитика AppSee это меньшая из ваших потенциальных проблем? Ну, т.е. вы же понимаете, что все данные из браузера окажутся в свободном доступе. Да и cert pinning используется в основном в финансовых приложениях (года 3 назад этим даже VK не заморачивался), что говорить об остальных.


                                                                  Про установку и использование AdGuard я вообще промолчу. Ставить прокси приложение без исходников и добавлять его CA в систему для борьбы со слежкой — ОЧЕНЬ странная затея. На основании чего пользователи верят им, но не верят AppSee, которая утверждает, что никакие данные никуда не передаются? Я предполагаю, потому что пользователям никто не объяснил, как это работает и к чему подобное приложение имеет доступ, а сами они никогда не задумывались над этим вопросом. Это, кстати, идея для нашего Фенька — можно разоблачить AdGuard.

                                                                    0
                                                                    В своей базе знаний о недостатках такого подхода они пишут следующее:
                                                                    «Тем не менее, фильтрация HTTPS имеет некоторые недостатки. Самым важным из них является то, что она скрывает от браузера свойства реального сертификата, используемого сайтом. Вместо этого браузер видит сертификат, сгенерированный AdGuard».

                                                                    Кроме того, по их заявлениям, они делают исключения в фильтрации для более чем 1300 сервисов с финансовой и другой важной приватной информацией.

                                                                    Все те ужасы, вполне вероятные и обоснованные, на мой взгляд, о которых написали вы, не упоминаются по понятным причинам.
                                                                      0
                                                                      они делают исключения в фильтрации для более чем 1300 сервисов с финансовой и другой важной приватной информацией

                                                                      AppSee/e-Legion/BK тоже заявляют, но им это, как мы видим, не особо помогает — толпа лютует. Но та же толпа рекомендует друг другу добавлять appsee в AdGuard для защиты.


                                                                      Счастье в неведении. Как думаете, какой процент пользователей Adguard читал документацию? Я думаю, не больше 1%. Зачем ее читать, если друг Вася посоветовал. Друг Вася плохого советовать не станет. Люди не читают документацию, а верят другим людям, надеясь на то, что эти "другие люди" её прочли. В итоге никто её не читает. И уж тем более никто не пытается разбираться, что происходит внутри этой черной коробки с монитором — ВК/ОК загружаются и отлично. И вот это отсутствие желания разбираться и святая вера в "простого человека" приводят к тому, что население начинает верить любому чудаку, который с умным видом и картинками (а уж если с видео, так вообще 100% правда) объясняет им, что их пытаются обмануть злые корпорации/правительство/рептилоиды. Причем это относится не только к этому случаю и IT. Проблема глобальнее. Отказники от прививок, враги ГМО, свидетели химтрейлов или адепты плоской Земли, все они олицетворяют собой одну проблему — при недостатке знаний и отсутствии доверия к власти, население начинает больше верить "простому человеку", а не "коварному вождю/корпорации". И не важно, что "простым человеком" могут двигать не совсем благородные цели, а, в лучшем случае, психиатрические нарушения и/или невежество, толпа рада верить тому, что их сомнения в существовании заговора не беспочвенны. Ведь согласитесь, всегда приятнее знать, что все неудачи в твоей жизни результат воздействия третьих сил, а не твои личные просчеты. Особенно это заметно в странах вроде нашей, где паранойя существует не только сама по себе, но она еще и подпитывается той самой властью через СМИ — кругом враги, будь бдителен. Результат налицо — мы не поняли, что там произошло, но давайте сожжем БК и легион заодно, ибо нефиг.

                                                                0

                                                                Меня другое пугает. Выходит любое приложение прошедшее в аппстор теоритически может записывать видео с моего экрана и мои банковский данные. Я думаю тут рекошет должен и по Эппал попасть.

                                                                  0

                                                                  Нет, экран приложение может записывать только свой. Условный бургер кинг не сможет заскриншотить условный вконтакте.


                                                                  Бить тревогу рано, так как приложение и без этого имеет доступ к своей собственной памяти и всем хранящимся там данным. Проблема в том, что с этими данными владелец приложения делает.

                                                                  0
                                                                  Обычный MITM в публичном WiFi организовать утечку ДДК

                                                                  Не вводите людей в заблуждение, «обычный MITM» никак не даст возможность обойти ssl подключение в приложениях без физического доступа к устройству.
                                                                    0
                                                                    Да и старт темы вроде как совпадает с принятием стандарта:
                                                                    «10.07.2018, 11:40 Текст:
                                                                    Сергей Куликов
                                                                    Росстандарт своим приказом утвердил предварительный национальный стандарт 277-2018 „Российская система качества. Сравнительные испытания мобильных приложений для смартфонов“. Сообщение об этом опубликовано сегодня на сайте ведомства.»

                                                                    Так что тему с Кингом можно рассматривать как подготовку почвы общественного мнения для блокировки приложений, т.к. уже были сообщения, что за несоответствие стандарту приложения будут блокировать.
                                                                      0
                                                                      Тогда уже всех кто в этом заляпался пишите:
                                                                      разработчик приложения e-Legion
                                                                      Chief digital officer at Burger King Sergey Ocheretin www.facebook.com/profile.php?id=100004299134677

                                                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                      Самое читаемое