26.11 – uppfærsla neðst.
QuizUp appið frá Plain Vanilla hefur fengið mikla athygli og umfjöllun síðan það kom fyrst á markaðinn fyrir örfáum vikum. Ég fjallaði um vafasama markaðsaðferðir og mælikvarða hér og vonaðist í framhaldinu til þess að fjalla næst um mikla velgengi og mikla notkun en svo er því miður ekki.
Núna er mikið fjallað um appið erlendis en sú athygli er neikvæð því það bendir allt til þess að appið fari mjög vafasömum höndum um upplýsingar notenda. Öryggisráðgjafar og forritarar hafa t.d. séð að tengiliðaskrá sem er hlaðið upp í “plain text” (ódulkóðuð) og deilt af handahófi með þeim sem spila leikinn. Appið virðist nota HTTPS til að hlaða tengiliðaskrá frá tæki en afhendir hana aftur notenda af handahófi í Plain Text.
Þetta er ekki lítið áhyggjuefni þar sem telja má líkur á því að appið verði mögulega bannað úr appstore eða fyrirtækið (Plain Vanilla) jafnvel sektað eins og gerðist í dæmi Path sem þurftu að greiða $800.000 í dómssátt.
Kyle Richter sem er ma þekktur iOS og Mac forritari fjallar ýtarlega um málið í langri færslu en þar kemur meðal annars fram
in the case of QuizUp they actually send you other users’ personal information via plain-text(un-hashed); right to your iPhone or iPod touch. This information includes but isn’t limited to: full names, Facebook IDs, email addresses, pictures, genders, birthdays, and even location data for where the user currently is
Dæmi hér
Dæmu um upplýsingar í plain text frá Kyle Richter
Einnig
There are hundreds of “minor” issues that were uncovered as I continued to investigate, with the assistance of some security researchers who had now taken an interest in the issue. Issues were found from sending your password when completing an email signup out as plain text, to mishandling Twitter contacts
að auki
While QuizUp does use HTTPS for all of the network calls, the data that is being handed back to the device is in a readable (non-hashed) state and is very sensitive in nature. A good deal of the data that is being sent should never be needed. For example, there is no reason my device should need to know the email address of another player.
Að lokum
QuizUp also breaks a handful of Apple’s review guidelines and probably should have been rejected to begin with.
Facebook token í plain text hjá Kyle Richter
Í stuttu máli kemur fram að
- Tengiliðaskrá ásamt persónugerandi upplýsingum er sýnilegt í Plain Text sem brýtur alræðislög í US… og vonandi hérlendis
- Facebook token er ódulkóðað
- Fyrirtækið virðist vista gögn notenda á “server úti í bæ”
- Tók um 15 mínúndur að læra að sjá þessi gögn ódulkóðuð
- Ásamt hundruðum lítill “galla” sem þeir eru að rannaka betur
- QuizUp virðist brjóta hið minnsta fimm Apple Developer reglur samkæmt Kyle og hefði aldrei átt að vera leyft.
Við notendur verðum að geta treyst forriturum til þess að vernda okkur frá svona brestum en svo var greinilega ekki þarna. Plain Vanilla eru að mér skilst að vinna á fullu í þessu máli og munu vonandi koma uppfærslu sem lagar þetta sem allra fyrst..
Uppfærslur 25.11
Hér er uppfærsla með svörum á nokkuð ýtarlegri færslu á TechCrunch
Hér er svar á HackerNews sem virðist vera frá Jökul sem er einn af forriturum QuizUp
Uppfærlsur 26.11
Hér má lesa fréttatilkynningu sem mér barst vegna þessa frá Plain Vanilla.
Kyle Richter hefur uppfært upphaflega færslu þar sem hann segist standa fyllilega við ásakanir sínar og sé til í að senda niðurstöður sínar á alla öryggisrannsakendur sem eftir því leita. Hann segir einnig að stjórnendur Plain Vanilla hafi verið í sambandi við sig og þeim sé mikið í mun að laga þessa vankannta. Hans tilfinning er sú að þetta muni taka tíma en miðað við viðbrögð Plain Vanilla þá sér hann fyrir sér ánægjulegan endi.
Heimild
