24/01/2014

Szybka reakcja Starbucksa na błędy w aplikacji mobilnej

Informacje

Raport, który ukazał się w zeszłym tygodniu wypunktował błędy w mobilnej aplikacji Starbucks dla systemu iOS – okazało się, że dzięki aplikacji można zobaczyć dane personalne każdego klienta kawiarni, który ją pobrał. Gigantowi należy się wielkie uznanie – biorąc pod uwagę, że nie jest firmą specjalizującą się w nowych technologiach, błyskawiczna reakcja na problem i wypuszczenie aktualizacji aplikacji  potwierdza profesjonalizm.

starbucks

Oczywiście nie jest tajemnicą, że Starbucks nie cierpi z powodu braku pieniędzy, jednak biorąc pod uwagę, że błędy zostały odkryte w grudniu i naprawione już w styczniu – firma wzbudza respekt. Ujawnienie słabości aplikacji i proces poszukiwania rozwiązań często pociąga za sobą wielomiesięczne uciekanie od odpowiedzialności producentów, szukanie dziury w całym oraz inne zawiłości.

Ale co powinni zrobić użytkownicy? Po pierwsze i zapewne najważniejsze: jeżeli masz zainstalowaną aplikację Starbucksa na swoim iPhonie, iPadzie lub innym „iUrządzeniu”, powinieneś niezwłocznie pobrać z App Store i zainstalować najnowsza aktualizację programu.

Oszczędzę Was i nie będę się rozwodził na temat technicznych szczegółów: aplikacje z błędami posiadają użytkownicy, którzy mają wersje sprzed 16 stycznia – włącznie z wersją 2.6.1 dla iOS.  Żeby wszystko było oczywiste: najaktualniejszą wersją aplikacji niezawierającą  błędów jest 2.6.2 dla iOS, którą oczywiście znajdziesz w App Store.

Wszyscy użytkownicy, którzy nie zaktualizują swojej aplikacji, narażeni są na ujawnienie swoich poufnych danych takich jak: pełne imię i nazwisko, adres, numery seryjne urządzeń oraz różne informacje związane z geolokalizacją –  wymienia w swoim raporcie Chris Brook ( Threatpost).

Aplikacja kawowego giganta przechowywała wszystkie nasze informacje w postaci nieszyfrowanego tekstu, narażając je na jawność, w plikach logowania – łącznie z dodatkowym rozwiązaniem chroniącym przed możliwymi „wpadkami” zewnętrznej firmy z Bostonu: Crashlytics.

Daniel Wood, analityk i członek projektu Open Web Application Security Project (OWASP), który odnalazł błąd w  aplikacji, uważa, że Starbucks nie miał by tego problemu, gdyby zastosował dobre praktyki dla ochrony aplikacji. Według Wood’a kawowy gigant powinien dokładnie testować swoje aktualizacje zanim zostaną wypuszczone w świat: „aby zabezpieczyć dane użytkowników przed gromadzeniem ich w niezaszyfrowanych plikach w Crashlytics”.

Ludzie z Crashlytics opracowali rozwiązanie dla twórców aplikacji mobilnych, które raportuje awarie i błędy. Starbucks zastosował ich technologię w swojej aplikacji, pomimo że wdrożone rozwiązanie nie działało poprawnie – a przynajmniej w pewnej części.

Jeden z założycieli Crashlytics, Wayne Chang przekazał swoje stanowisko drogą mailową Danielowi Wood’owi, autorowi raportu. Według Changa problem dotyczył jednego z narzędzi służących logowaniu. Kontynuując swoją odpowiedź, zakomunikował, że jego firma nie zbiera loginów i haseł automatycznie. Jest to dodatkowa funkcja (CLSLog), która jest opcjonalną propozycją – programiści aplikacji mogą (ale nie muszą!) ją wykorzystać do logowania dodatkowych informacji.

A jeżeli ten temat Cię zaciekawił, to pozwolę sobie dodać, że aplikacja Starbucksa pozwala swoim użytkownikom połączyć smartfona z kartą lojalnościową Starbucks, doładowywać konto przez PayPal albo kartę kredytową, a także pozwala używać swojego telefonu jako narzędzia do płacenia w kawiarniach Starbucks na całym świecie.