Da alcuni report pubblicati all’inizio di questa settimana è emerso che l’app mobile iOS di Starbucks potrebbe mettere in pericolo i dati personali dei clienti che la scaricano. Starbucks, da parte sua (considerando che non è un’azienda IT), ha distribuito nella tarda giornata di ieri un aggiornamento in grado di risolvere la vulnerabilità.
Naturalmente, al colosso americano del caffè non mancano certamente le risorse economiche; tuttavia, a onor del merito, bisogna dire che la vulnerabilità è stata resa nota a dicembre e risolta a gennaio, il che è un buon segno viste le normali tempistiche in questi casi. Tra la scoperta di una vulnerabilità e la sua soluzione, vi è tutta una fase intermedia che prevede smentite da parte delle case produttrici, tentativi di “cercare il pelo nell’uovo” e complicazioni di ogni sorta. In definitiva, ci vogliono mesi e mesi prima di porre fine al problema.
Dunque la prima cosa da fare è, se avete scaricato l’app mobile di Starbucks sul vostro iPhone, iPad o qualsiasi altro iDispositivo, entrare subito nell’App Store e installare gli aggiornamenti il prima possibile.
Vi risparmierò la maggior parte dei dettagli tecnici, ma la vulnerabilità riguardava la versione più recente (fino al 16 gennaio) dell’applicazione, la 2.6.1 per iOS. Come ho già fatto presente, l’azienda ha risolto la vulnerabilità rilasciando la versione 2.6.2 che, ripeto, può essere scaricata nell’App Store di Apple.
Secondo un report pubblicato da Chris Brook su Threatpost, gli utenti che non hanno installato gli aggiornamenti potrebbero potenzialmente mettere in pericolo tutta una serie di informazioni sensibili, quali nome/cognome, indirizzo, ID del dispositivo e dati di geolocalizzazione.
L’app di Starbucks immagazzinava tutte queste informazioni in plain text, e non in formato criptato, in un file log incluso in una soluzione esterna poco sicura, sviluppata da un’azienda di Boston chiamata Crashlytics.
Daniel Wood, il ricercatore che ha scoperto il bug, nonché membro di OWASP (Open Web Application Security Project), ha incolpato Starbucks di non aver seguito le best-practices consigliate per la sicurezza delle applicazioni.
In particolare, Wood ha affermato che Starbucks avrebbe dovuto filtrare e disinfettare i dati in uscita “per prevenire che questi fossero immagazzinati nei file log di Crashlytics in plain text”.
Crashlytics sviluppa soluzioni di crash reporting per creatori di app mobile. Starbucks sembra aver usato la tecnologia di questa azienda nella propria applicazione, ma pare che non sia stata implementata nella maniera corretta, o solo parzialmente.
Wayne Chang, co-fondatore di Crashlytics, ha detto a Chris Brook di Threatpost via mail che la questione sembra coinvolgere una delle funzionalità di logging in plain text appartenente al servizio. Chang ha continuato affermando che Crashlytics non raccoglieva username o password in forma automatica. La funzionalità CLSLog è una “funzionalità opzionale che gli sviluppatori possono scegliere di usare per loggare informazioni aggiuntive”.
Se siete curiosi, l’app di Starbucks dà ai clienti la possibilità di collegare la propria card Starbucks allo smartphone, ricaricare via Paypal o carta di credito, permettendo di usare il proprio smartphone come meccanismo di pagamento mobile presso gli Starbucks di tutto il mondo.