| 26 ноября 2013 г. — 5:10 PT
QuizUp, которое уже около недели входит в число самых продаваемых приложений для iOS, полно «шокирующих» дыр в безопасности, утверждает Кайл Рихтер, разработчик популярной конкурирующей (так что..) игры-викторины Trivium в своем посте в блоге.
То, что я нашел, поначалу было удивительным; затем шокирующим […]
Они фактически отправляют личные данные других пользователей в открытом виде (без хеширования) прямо на ваш iPhone или iPod touch. Эти данные включают, но не ограничиваются: полные имена, идентификаторы Facebook, адреса электронной почты, фотографии, пол, даты рождения и даже данные о местоположении пользователя.
Мне удалось получить доступ к личной информации сотен людей, которых я никогда не встречал и с которыми не взаимодействовал, кроме того, что мы оба пользовались QuizUp. Эти люди также имели доступ к моей личной информации. Важно помнить, что это были не те люди, которых я добавил в друзья в приложении, это были совершенно незнакомые люди во всех смыслах…
Как отмечает TechCrunch, отправка незашифрованных конфиденциальных данных способом, уязвимым для перехвата, — это именно то, из-за чего Path попала в неприятности, что привело к урегулированию спора на 800 000 долларов с FTC.
Рихтер отказался вдаваться в подробности об уязвимости, которую он использовал, но передал полные сведения разработчикам QuizUp, компании Plain Vanilla. Генеральный директор Plain Vanilla Тор Фридрикссон утверждает, что в заявлении в блоге есть неточности, хотя в своем заявлении для TechCrunch он признал, что существуют недостатки.
Из-за ошибки в нашей сторонней сетевой библиотеке шифрование в некоторых случаях могло быть ослаблено. Эта проблема была решена в обновлении, которое ожидает проверки в Apple. Пароли пользователей хешируются перед сохранением в наших базах данных. Токен доступа пользователя к Facebook никогда не хранится в открытом виде на клиенте.
Адресные книги наших пользователей не хранятся на наших серверах и используются только временно, чтобы помочь нам найти ваших друзей. Было ошибкой не хешировать содержимое адресной книги перед отправкой на наши серверы, и мы в настоящее время изменяем клиентское приложение, чтобы оно хешировало содержимое адресной книги перед отправкой на наши серверы.
Основные проблемы, по-видимому, заключаются в том, что, хотя SSL используется для передачи данных, как контактные данные, так и токен доступа Facebook передавались в открытом виде и могли быть легко перехвачены.
На момент написания статьи Plain Vanilla утверждает, что исправление на стороне сервера уже сделано, и пересмотренная версия приложения ожидает одобрения Apple.