Segundo um relatório publicado recentemente, o aplicativo móvel da Starbucks para iOS poderia estar expondo a informação pessoal de todos os clientes que baixaram o app. No entanto, a marca estadunidense, apesar de não ser uma empresa de tecnologia, detectou a vulnerabilidade no mês passado (dezembro) e em janeiro lançou uma atualização que resolve o problema. Geralmente este processo leva vários meses antes que seja tomada alguma medida a respeito.
Então se você baixou o aplicativo da Starbucks do seu iPhone, iPad ou qualquer outro dispositivo da Apple, recomendamos que instale a atualização o quanto antes. Sem entrar em muitos detalhes técnicos sobre o que ocorreu, a vulnerabilidade estava disponível para a última versão do sistema operacional: 2.6.1 do iOS. Como explicamos, desde então a empresa tomou as medidas de segurança necessárias e lançou a versão atualizada 2.6.2, que você pode encontrar na Apple Store.
Segundo um relatório de Chris Brook, publicado no blog Threatpost, os clientes que não baixaram a atualização estão expostos a que qualquer pessoa acesse a informação confidencial do usuário como, por exemplo, seu nome, sobrenome, endereço e dados de geolocalização.
Este aplicativo armazenava toda a informação em texto plano sem codificar em um arquivo de registro que formava parte de uma solução de segurança criada pela empresa chamada Boston Crashlytics. Daniel Wood, pesquisador e integrante do OWASP (Projeto Aberto de Segurança de Aplicativo Web) foi quem descobriu o bug e afirmou que Starbuck não tem seguido as medidas necessárias para melhorar a segurança do aplicativo. Além disso, afirmou também que a empresa deveria filtrar os dados de saída para “evitar que a informação seja armazenada em texto plano nos arquivos de registro de Crashlytics”.
Crashlytics oferece soluções para que os criadores de aplicativos móveis possam informar aos usuários os possíveis problemas. Starbucks parece que utilizou a tecnologia da empresa no seu aplicativo, embora não tenha implementado de forma correta.
O co-fundador do Crashlytics, Wayne Chang, informou a Chris Brook do Threatpost via e-mail que o problema está relacionado com as funções de registro em texto plano. Disse também que Crashlytics não armazena automaticamente os nomes dos usuários ou as senhas dos clientes. A função, CLSLog, “é uma função opcional que os desenvolvedores podem utilizar para armazenar informação adicional”.
Além disso, o aplicativo da Starbuck permite aos clientes conectar seu cartão da marca com o smartphone e carregar dinheiro através do Paypal ou do cartão de crédito, o que significa que pode utilizar o smartphone como método de pagamento nos Starbucks de muitos países.