blog

星巴克以明文形式存储iOS应用密码,让用户容易受到攻击

<p>咖啡巨头星巴克(纳斯达克股票代码:SBUX)承认其iPhone上的Apple(纳斯达克股票代码:AAPL)iOS移动支付应用程序以明文形式保存用户位置数据和密码,使数据不加密且容易受到攻击</p><p>安全研究员Daniel Wood在星巴克iOS App 2.6.1版中发现了明文漏洞</p><p>根据Wood关于iOS应用漏洞的完整披露帖子,明文缺陷最初于2013年12月向星巴克报告,之后于2014年1月13日公布了他的调查结果.Wood解释了特定的漏洞,其中密码和位置数据存储在明文,未加密的格式:“在session.clslog中,有多个明文凭据存储实例,可以恢复并利用恶意用户自己设备上的用户帐户或https://在线未经授权使用用户帐户www.starbucks.com/account/signin</p><p>“根据对计算机世界的电话采访,星巴克CIO Curt Garner和星巴克首席数字官Adam Brotman表示他们知道”帐户密码和数据存储在“未指定的时间”明文</p><p> “我们知道,”布罗特曼对计算机世界说</p><p> “这对我们来说不是什么新闻</p><p>”计算机世界很容易指出星巴克高管未能说出密码是否仍然以明文存储,尽管他们声称“额外的安全层”正在实施</p><p>对于星巴克应用程序的用户来说不幸的是,密码锁无法保护他们的数据免受此特定漏洞的影响,因为小偷只需要将数据提取到iPhone上的日志文件即可获取对星巴克凭证的访问权限</p><p>此外,伍德发现星巴克移动支付应用程序还存储了星巴克应用程序用户的未加密位置历史记录,可能会让星巴克iOS应用程序用户面临潜在的隐私和安全问题</p><p>伍德的公开披露还透露,星巴克的明文保存在与崩溃分析数据相关的文件中,该数据由Crashlytics处理,Crashlytics是Twitter(纽约证券交易所代码:TWTR)去年收购的第三方崩溃报告服务</p><p>伍德为星巴克应用程序的安全漏洞推荐了几种补救措施,包括防止用户数据存储在Crashlytics日志文件中</p><p>虽然Wood公布的特定漏洞仍然需要使用星巴克应用程序对iPhone进行物理访问,但一旦获得用户凭据,犯罪分子就可以使用自动补充功能(如果以前已启用)加载新被盗的星巴克账户让星巴克购买</p><p>从更广泛的安全角度来看,许多用户倾向于在网站和应用程序中使用相同的密码,

查看所有