Приложение Burger King тайно записывает экран телефона!

UPD: Ответ от Burger King Мобильное приложение Burger King с удаленным заказом не собирает персональных данных своих подписчиков.


Информация, что имеется открытая передача личных данных (данные карт) не подтверждена.


UPD (14:46): От автора поста

___________________________________

Мой блог: https://fennikami.cf, для связи со мной пишите на https://fennikami.cf/contact/

Привет! Мне 18 и я бородат в свободное время ковыряю разные приложения.


Сегодня дошли руки до распиаренного приложения Бургер Кинга (того самого, где «бургер — бесплатно» и промокоды для друзей).


Значит открываю приложение на своем айфончике, смотрю за трафиком. И обнаруживаю это:

Приложение Burger King тайно записывает экран телефона! Бургер Кинг, Приложение, Метрика, Длиннопост, Фастфуд, Шпион, Android, iOS

Что это такое?

А это запрос от приложения к серверу (сверху) с инфой вроде его версии, модели телефона, времени запуска, разрешении дисплея. Вроде бы все окей, да?

Но! В ответ телефону прилетает информация (снизу) о том, как записывать видео с экрана. o_O

Причем, параметр MaxVideoLength (максимальная длина видео) указан как "0", что значит — бесконечная запись (при запущенном приложении)!

Т. е. — приложение не просто записывает экран, а делает это постоянно, и ровно таким же образом постоянно отсылает запись на сервер. Как Вам, пользователи мобильного интернета? :)


О, а вот и запись экрана отправляется на сервер!

Приложение Burger King тайно записывает экран телефона! Бургер Кинг, Приложение, Метрика, Длиннопост, Фастфуд, Шпион, Android, iOS

Обратите внимание на адрес *.appsee.com/upload (о том, что такое AppSee — в конце) слева и сам файл mp4 справа (все эти квадраты — видео с сыром виде, которое в живом эфире отправляется на сервер).


Ну и вишенка на торте: экран записывается даже тогда, когда Вы вбиваете данные своей банковской карты в приложение (и это необходимо для совершения заказа).
Ну и финальная вишенка: AppSee — это такая метрика (статистика) для приложений, и чуваки специализируются на таком вот способе отслеживать приложение для разработчиков/маркетологов.

Мало того, что записывать экран ни разу не круто, так еще к этим видео имеют доступ не только разработчики приложения Burger King, а и всякая шушера вроде партнеров AppSee (то есть — совершенно левые люди), да и сам AppSee тоже.
Напомню — видео записывается даже тогда, когда вы вбиваете данные своей банковской карты. И к нему имеют доступ кто попало.

Вот так выглядит само видео:

Приложение Burger King тайно записывает экран телефона! Бургер Кинг, Приложение, Метрика, Длиннопост, Фастфуд, Шпион, Android, iOS

Слегка ужато, да, но ничто не мешает серверу в какой-то момент прислать конфиг для записи видео в HD и тогда будет совсем грустно.


Как же так, Burger King? :(

P. S: Еще там страшная Яндекс.Метрика и Crashlytics, и вот если Crashlytics можно хоть как-то доверять, то Яндекс собирает инфы столько, что глаза на лоб лезут.

______________________________________________________________________________________________________
UPD: приложение Burger King записывает прикосновения к экрану и может сопоставлять их с видео на экране, и эта информация как и видео доступна целой куче людей

4978
Автор поста оценил этот комментарий

Человек, немедля пили на Хабр об этом статью - там такое любят. Разлетится по СМИ мгновенно. Я не шучу.


> экран записывается даже тогда, когда Вы вбиваете данные своей банковской карты в приложение (и это необходимо для совершения заказа).


А вот за такое кого-то взгреют пипец.

раскрыть ветку (1)
2622
DELETED
Автор поста оценил этот комментарий

Спасибо, отправил в песочницу статью (нет инвайта).

показать ответы
112
Автор поста оценил этот комментарий
Либо потерли, либо что-то еще "интересное" произошло((
Иллюстрация к комментарию
раскрыть ветку (1)
145
DELETED
Автор поста оценил этот комментарий

Нет никакого заговора :)
Хабр, оказывается, показывает статью только мне, пока она на модерации.

Иллюстрация к комментарию
показать ответы
119
Автор поста оценил этот комментарий

Наверняка же жмякали при установке приложения кнопочку под списком "Приложению требуется доступ к вашим личным данным, к вашим контактам, к вашему местоположению, к вашим....... короче, приложению требуется ваша одежда, сапоги и мотоцикл".

раскрыть ветку (1)
142
DELETED
Автор поста оценил этот комментарий

Не-а. У меня iPhone, и там разрешения идут по мере использования. Запрашивало доступ только к местоположению.
Для записи экрана не нужно подтверждение т. к. это не запрос к системному API, а метрика внутри приложения.

показать ответы
405
DELETED
Автор поста оценил этот комментарий

Никак иначе, увы, не смог это описать.

Иллюстрация к комментарию
показать ответы
110
Автор поста оценил этот комментарий
Отпиши, как пройдет модерацию) интересно, что там в комментах понапишут (а они там иногда толковые все же бывают)
раскрыть ветку (1)
70
DELETED
Автор поста оценил этот комментарий

Ок!

показать ответы
2280
DELETED
Автор поста оценил этот комментарий

Туда желательно писать с тех подробностями, там такое любят и больше шансов что примут пост. А если пост тупо "утонет", то зови меня, опубликую за тебя, у меня есть возможность публиковать сразу напрямую

раскрыть ветку (1)
126
DELETED
Автор поста оценил этот комментарий

Спасибо! Вот пока что пост в песочнице: https://habr.com/sandbox/122545/

показать ответы
132
Автор поста оценил этот комментарий

p.s. если приглашения нет, можешь написать в поддержку (там на сайте форма) или редакторам в личку, тому же alizar - они опубликуют статью мгновенно с указанием твоего авторства, тема-то крайне жареная. А то придется ждать, пока модерацию пройдет, это минимум до завтра.

раскрыть ветку (1)
82
DELETED
Автор поста оценил этот комментарий

Спасибо за совет! Написал Ализару.

показать ответы
60
Автор поста оценил этот комментарий

ну а как мне яндекс начал выдавать какую-то хрень, про которую разговаривали 2 взрослых инженегра рядом со мной, название которой я даже не знал?)

раскрыть ветку (1)
85
DELETED
Автор поста оценил этот комментарий

Яндекс — ебучая сотона еще та.
Их Метрика хочет знать всё, что можно.

показать ответы
164
Автор поста оценил этот комментарий

Сейчас редактор  Хабра смеется над твоим творчеством. А завтра на IT ресурсах будут угорать над этим хайпом и постить скрины.


А сесть и почитать документацию Appsee наверное не нужно?

1) Поля ввода скрываются в видео. Качество выбирает разработчик как и выборку юзеров для записи по разным параметрам. Обычно берут 3-5 FPS с записью и отправкой только Wi-Fi.

2) Персональная информация не пишется (внутренний айдишник учётки это приватные данные).

3) Данные идут по https с 2048 бит ключём и хранятся в шифрованных хранилищах.

Там чуваки жопу прикрыли по вопросам персональных данных ещё до канители Фейсбуком.

Мобильный девелопмент с помощью таких сервисов мониторит и отслеживает баги на стороне пользователя, всяко выгоднее нежели пилить свой код под сбор технической инфы. Куча приложений с SDK appsee под IOS и Android шлют непрерывно инфу в него. Не будем забывать и про другие сервисы, коих достаточно.

Приложения с такими сервисами внутри спокойно проходят все проверки у Apple и Google.  И отвечают всем стандартам защиты , правилам работы с данными пользователя в США и даже новейшему GDPR от Евросоюза.

раскрыть ветку (1)
253
DELETED
Автор поста оценил этот комментарий

О, еще один.
Повторяю еще раз:

1)

Поля ввода скрываются в видео. Качество выбирает разработчик как и выборку юзеров для записи по разным параметрам. Обычно берут 3-5 FPS с записью и отправкой только Wi-Fi.

SensitiveView не указан а значит хуй там, а не скрытые поля.


2)

Персональная информация не пишется (внутренний айдишник учётки это приватные данные).

Пишется экран с инфой о картах, это не персональная инфа?


3)

Данные идут по https с 2048 бит ключём и хранятся в шифрованных хранилищах.


Там чуваки жопу прикрыли по вопросам персональных данных ещё до канители Фейсбуком.

Какая разница, какой там ключ шифрования, если нет самой важной вещи — certificate pinning.

Приложение БК хавает ЛЮБОЙ левый https сертфикат, а значит — толку 0.

Любой может подменить сертификат и смотреть спокойно трафик.


4)

Мобильный девелопмент с помощью таких сервисов мониторит и отслеживает баги на стороне пользователя, всяко выгоднее нежели пилить свой код под сбор технической инфы. Куча приложений с SDK appsee под IOS и Android шлют непрерывно инфу в него. Не будем забывать и про другие сервисы, коих достаточно.


Приложения с такими сервисами внутри спокойно проходят все проверки у Apple и Google. И отвечают всем стандартам защиты , правилам работы с данными пользователя в США и даже новейшему GDPR от Евросоюза.

Нормальные люди не используют AppSee.

А адекватная часть его пользователей настраивает его так, что AppSee пишет частями а не непрерывно как у БК, и не пишет инфу о банковских картах при вводе.

показать ответы
51
Автор поста оценил этот комментарий

Доедай, чо уж, не пропадать же добру. Воппер видео не пишет.


Хотяяя...

раскрыть ветку (1)
48
DELETED
Автор поста оценил этот комментарий

Теперь Вы зондированы :)

показать ответы
70
DELETED
Автор поста оценил этот комментарий

Ок!

раскрыть ветку (1)
47
DELETED
Автор поста оценил этот комментарий

Модерацию не прошел!

показать ответы
162
Автор поста оценил этот комментарий

Как выложат запили пост с ссылкой.

раскрыть ветку (1)
41
DELETED
Автор поста оценил этот комментарий

Мне дали инвайт!!! Скоро перепишу пост на хабр и выложу!

показать ответы
1
Автор поста оценил этот комментарий

Бургер 🍔 тема. Там все честно. Я там часто через мобилку заказываю ужа больше 4 месяцев- все норм 👌🏾☝🏼

раскрыть ветку (1)
52
DELETED
Автор поста оценил этот комментарий

>пикабушник 5 минут

3
Автор поста оценил этот комментарий

На ведре начиная с не помню какой версии тоже разрешения по ходу.

А запись с экрана без рута вообще невозможна. Хотя внутри приложения, наверное, будет.

раскрыть ветку (1)
40
DELETED
Автор поста оценил этот комментарий

Без рута — более чем возможна.

53
DELETED
Автор поста оценил этот комментарий

Я предоставил видео-доказательство (по данной ссылке: https://youtu.be/L_V1hw5EFLE) того, что поля ввода данных, в том числе — банковских карт, не скрываются.

Видео отправляется каждый раз при запуске (в чем вы сами можете убедиться, отследив трафик приложения).

Таким образом я имею опровержение официального ответа Burger King о том, что «личная информация скрыта» и того, что якобы используется выборка на 10% пользователей.


Стоит отметить, что ни в одном из официальных видео Burger King (где они якобы демонстрируют скрытие личных данных) не показано меню привязки банковской карты.

В этом видео оно показано.


Также хочу отметить, что после публикации оргинального расследования — на мой блог начались хакерские атаки (брутфорс админки, поиск эксплоитов, попытка DDoS).


Я готовлю второй пост на эту тему.

@moderator, добавьте, пожалуйста, эту информацию в мой пост. Спасибо.

показать ответы
133
DELETED
Автор поста оценил этот комментарий

Бля, а если я не понимаю ничего в приложениях? А я ничего не понимаю в приложениях.

Как бы я узнал что такие утечки происходят, если бы не ты?

Спасибо тебе, добрый кулцхакер!

раскрыть ветку (1)
43
DELETED
Автор поста оценил этот комментарий

Да не за что. Хз как про такое не рассказать.

показать ответы
17
Автор поста оценил этот комментарий

это на любой ос, андроид и иос? как то можно кастрировать приложение?

раскрыть ветку (1)
51
DELETED
Автор поста оценил этот комментарий

Самый простой вариант: резать запросы к *.appsee.com на роутере или на телефоне (если есть такая возможность). Да, такое и на iOS, и на Android, причем с Андроидом все может быть жестче т. к. запись экрана может идти не только в рамках приложения.

показать ответы
21
Автор поста оценил этот комментарий
Срочно пили пост, как это сделать. Пост понятный любому дауну, а не только системщикам. С нас гора спасибов и памятник нерукотворный.
раскрыть ветку (1)
31
DELETED
Автор поста оценил этот комментарий

Вот думаю. Но для сниффа трафика все равно нужно понимание того, как это работает и знание английского технического.
Приложения с кнопкой "сделать заебись показать шпионов" — не существует.

показать ответы
Автор поста оценил этот комментарий

И да. Неделю назад была инфа об этом самом приложении на 4pda.ru. Товарищ вообще ничего нового не открыл (а может и вообще статейка пижженая).


Зато я знаю результат: Компания AppSee принесла свои извинения и сказала что ее технологии (код) были неправильно использованы компанией BurgerKing.

раскрыть ветку (1)
36
DELETED
Автор поста оценил этот комментарий

Гугл тоже молчит, кстати.

Так что все вот эти "статейка пижженая" — тупое пиздабольство.

Иллюстрация к комментарию
показать ответы
130
Автор поста оценил этот комментарий

Обострились по полной

раскрыть ветку (1)
42
DELETED
Автор поста оценил этот комментарий

Простите, заорал.

показать ответы
Автор поста оценил этот комментарий

И да. Неделю назад была инфа об этом самом приложении на 4pda.ru. Товарищ вообще ничего нового не открыл (а может и вообще статейка пижженая).


Зато я знаю результат: Компания AppSee принесла свои извинения и сказала что ее технологии (код) были неправильно использованы компанией BurgerKing.

раскрыть ветку (1)
20
DELETED
Автор поста оценил этот комментарий

У меня на 4pda статус "друг 4пда" и я там регулярно сижу, но никто ничего про БК не писал и вообще никаких упоминаний нет. Статью написал сам, скрины мои :)

показать ответы
4
Автор поста оценил этот комментарий

Я думаю можно сделать так, что разрешение вообще не будет спрашивать.

раскрыть ветку (1)
19
DELETED
Автор поста оценил этот комментарий

В рамках App Store / Play Store — нельзя. Обход API карается что гуглом, что яблом.

показать ответы
13
Автор поста оценил этот комментарий

Кинуть инвайт? Давай email.

раскрыть ветку (1)
11
DELETED
Автор поста оценил этот комментарий

Спасибо! fennikami@pm.me

показать ответы
63
Автор поста оценил этот комментарий

Привет Пикабу


Меня зовут Сергей, я Продакт этого самого приложения в Бургер Кинг. Огромное удовольствие читать вас и хабр, но сегодня ввиду последних событий и активного хейта нашего приложения хочу все же вмешаться.Не кидайте страйки, т.к. напишу все как есть, и справедливость должна восторжествовать


Приложение Бургер Кинг действительно подключено к одной из самых известных во всем мире и защищённых аналитических платформ ( и чертовски ска дорогой к тому же) - AppSee, которое позволяет выявлять баги, проблемы воронки продаж и другие "узкие" места.


Все данные агрегируются и приходят к нам в обезличенном формате. На основне общих данных мы принимаем решения, что нужно доделать или исправить. Все персональные данные и другие реквизиты банковских карт мы не видим, т.к.

1) Сам сервис не записывает эти данные

2) Наш эквайринг (Яндекс.Кассы) не передает их нам


Так что не только я, но и CEO AppSee не сможет увидеть этих данных, тк они не только программно зашифрованы, но ещё и скрыты от глаз вот такими черными полосками.


Все вопросы можете задать мне лично по вот этому мейлу digital@burgerking.ru

раскрыть ветку (1)
62
DELETED
Автор поста оценил этот комментарий

а) Данные банковских карт все равно записываются т. к. не проставлен SensitiveView


б) доступ к видео имеют все, начиная от БК и заканчивая партнерами AppSee


в) Приложение беспрерывно пишет видео и приводит к большому расходу трафика


г) Бургер Кинг не уведомляет ни о метрике, ни о записи экрана, в то время как все остальные уведомляют


д)

тк они не только программно зашифрованы, но ещё и скрыты от глаз вот такими черными полосками.

У Вас полоски отвалились.
Если серьезно — то "шифрование" это HTTPS без cert pinning? Серьезно? Вы же понимаете что это полный обостримус, любой желающий может подменить сертфикат и вашему "шифрованию" полный пиздец?

показать ответы
146
Автор поста оценил этот комментарий

Добавлял этот функционал в приложение, Appsee заблокировало активизацию видео с утройства, пока не закрыл поля ввода черными прямоугольниками. Там есть такой функционал в самом Appsee. Сервис очень помогает разобраться когда выходит новая версия и у некоторых пользователей баг, включаешь видео на определенные устройства и версии иОС и смотришь что делают пользователи и из-за чего ошибка в приле.


Собственно к чему я. Appsee не пропустит запись видео если на нем будут контактные данные пользователя или банковская информация (вообще список большой).


А на счет мобильного трафика, то так же запись видео можно отключить если используется мобильная сеть, что я и делал.


P.S. Делал это 2 года назад примерно, современных нюансов могу и не знать

раскрыть ветку (1)
85
DELETED
Автор поста оценил этот комментарий

У AppSee есть пометка для приватных элементов, но здесь она не используется в силу того, что ввод данных с карты реализован в едином интерфейсе и точно так же записывается. БК не отправляет информацию о сотовой сети и поэтому ответ от сервера всегда один — записывать.

показать ответы
17
Автор поста оценил этот комментарий

интересно, а что можешь про сбербанк-онлайн на телефонах сказать?)

раскрыть ветку (1)
101
DELETED
Автор поста оценил этот комментарий

Говнина ебаная. На айос и андроид пытается получить рут/джейлбрейк и если получает — шлет нахер. А на андроиде еще и антивирус зачем-то встроили в сбер Оо

показать ответы
24
Автор поста оценил этот комментарий

Я не оч понял, что именно ТС предъявляет бургер кингу? То что они используют сервис для дебага https://www.appsee.com/ (гляньте на их клиентов, так ради интереса)? Или тот факт, что они сделали это коряво и не исключают из записи банковские данные? Я просто не увидел пруфа последнего утверждения. Если это так, почему не выложить соснифенное видео, где это видно? Просто без этого факта  это абсолютно нормальная вещь: разработчик видит, что вы делаете в его приложении. Они же не пишут видео вне своего окна, верно?

раскрыть ветку (1)
49
DELETED
Автор поста оценил этот комментарий

Я прекрасно знаю что такое AppSee :)
Использовать апси — это не уважать своих клиентов как минимум, а тут она еще и пишет банковские карты.

>Они же не пишут видео вне своего окна, верно?

На iOS — да, на Android — могут и вне приложения (на заднем фоне).
Тут проблема в том, что в этом самом приложении (а не окне, как вы говорите) вбивается инфа о банковской карте и твоем местоположении.

показать ответы
10
Автор поста оценил этот комментарий

сделал ссылку на вашу статью на реддите. считаю, что необходимо это донести до мирового сообщества: https://www.reddit.com/r/BurgerKing/comments/8y6g27/burgerki...

раскрыть ветку (1)
13
DELETED
Автор поста оценил этот комментарий

Реддит не очень. Я делал расследование по поводу протрояненных приложений под iOS (в r/sideloaded), и наткнулся на стадный истинкт уровня "и чо главное что работает".

И удалилась к тому же статья :(

Если что — на реддите я тоже fennikami, линкуйте меня там

показать ответы
1
Автор поста оценил этот комментарий

Можно и тут подписаться https://habr.com/users/fennikami/ @fennikami, твой же профиль?

раскрыть ветку (1)
9
DELETED
Автор поста оценил этот комментарий

Профиль мой, но пост не одобрили :(

показать ответы
12
Автор поста оценил этот комментарий

Вангую, что автор получит спасибо от бургеркинг за обнаружение ошибки + бесплатный бургер

раскрыть ветку (1)
40
DELETED
Автор поста оценил этот комментарий

Главное чтобы не по хлебалу от их окуревших маркетологов :)

показать ответы
3
Автор поста оценил этот комментарий

Хай, извиняюсь что не очень в тему этой ветки, но чем ты трафик смотрел? Что это за прога

раскрыть ветку (1)
17
DELETED
Автор поста оценил этот комментарий

Fiddler.

показать ответы
30
Автор поста оценил этот комментарий

а с пользовательским соглашением все наверняка согласились не читая, как всегда)) п. 8.1


https://burgerking.ru/legal_for_app

раскрыть ветку (1)
28
DELETED
Автор поста оценил этот комментарий

Про запись экрана, кстати, ни слова. Или это "иные технические данные, необходимые для улучшения функционала и работоспособности Приложения"?))

показать ответы
56
Автор поста оценил этот комментарий

думаю, уже слышал, про их портативную колонку с голосовым поиском яндекса?) ФСБ прямо у Вас за столом)))

раскрыть ветку (1)
10
DELETED
Автор поста оценил этот комментарий
"Товарищ Майор, ближайшая бутылка"
Кстати не портативная же.
Автор поста оценил этот комментарий

А что за софт для просмотра кода в посте?

раскрыть ветку (1)
9
DELETED
Автор поста оценил этот комментарий

Не кода, а трафика. Fiddler.

показать ответы
10
Автор поста оценил этот комментарий

не могу суда прикрепить фото

но суда могу http://4pda.ru/forum/dl/post/13319262/1.png

Видео от fennikami никто не видел и что данные передаются тоже он не показал

раскрыть ветку (1)
25
DELETED
Автор поста оценил этот комментарий

Сергей, не берите меня на понт, пожалуйста.
Я могу прямо сейчас отсниффать ваше приложение (и ваших пиарщиков) и показать это все чуть ли не трансляцией на твитч. Но тогда Вы будете говорить что это все "фотошоп".

показать ответы
4
Автор поста оценил этот комментарий

сделал линк на ваш профиль
я запилил в сообществе r/burgerking... вполне вероятно, к утру пост спилят. надеюсь, что нет.

раскрыть ветку (1)
6
DELETED
Автор поста оценил этот комментарий

У Реддита очень тупая автомодерация, так что пост скорее всего выпиливается именно ею.

показать ответы
11
Автор поста оценил этот комментарий

Glorified - прославленный, расхваленный, захваленный

Иллюстрация к комментарию
раскрыть ветку (1)
13
DELETED
Автор поста оценил этот комментарий

Ну, английский я знаю с того же времени, что знаю русский, так что я все правильно сказал))

Иллюстрация к комментарию
показать ответы
12
Автор поста оценил этот комментарий
Если один в один то инвайта не получите, и даже карму возможно посадите. Если уж пилите приложения под микроскопом надо понимать что аудитория хабра желает видеть более детального разбора
раскрыть ветку (1)
19
DELETED
Автор поста оценил этот комментарий

Хабр уже давно не "желает видеть более детального разбора", увы.
Теперь это такой glorified Geektimes.

показать ответы
2
Автор поста оценил этот комментарий
А если приложение свёрнуто ? Запись идёт ?
раскрыть ветку (1)
8
DELETED
Автор поста оценил этот комментарий

На iOS — нет (если не используется уязвимость какая, что здесь неприменимо), на Андроиде — может.

показать ответы
14
Автор поста оценил этот комментарий
На дроиде в принципе можно скрыть рут при желании, а если стоит магиск, то тогда проблем вообще нет. А вот про антивир согласен, дичь.
раскрыть ветку (1)
10
DELETED
Автор поста оценил этот комментарий
Без Магиска никуда, но это вина больше Гугла.
Гугл выкатил SafetyNet API и при малейшей модификации телефона блокирует доступ к банковским приложениям и Google Pay, увы.
показать ответы
1
Автор поста оценил этот комментарий

Там ЧСВ слишком высоко у окружающих из-за специфики сообщества.

раскрыть ветку (1)
2
DELETED
Автор поста оценил этот комментарий

ЧСВ там высоко только у тех, кто на самом деле ничего не понимает.
Такая себе «айти-элитка», которая слово «фреймворк» не знает.

Автор поста оценил этот комментарий

У меня вопрос, я, увы, с теорией знаком поверхностно, но каким образом https траффик смотришь? Почти уверен что приложение не сконфигурировано доверять сертификату фидлера или чарльза поэтому единственное на что падает мысля это митм но обычно сервисы вроде крэшлитики шлют лесом все подобные попытки.

раскрыть ветку (1)
2
DELETED
Автор поста оценил этот комментарий

MITM и есть.

показать ответы
1
Автор поста оценил этот комментарий
Комментарий удален.
раскрыть ветку (1)
2
DELETED
Автор поста оценил этот комментарий

лолшто

21
DELETED
Автор поста оценил этот комментарий

Опа, тут вылез куратор темы приложения Бургера на 4PDA (куратор конечно на "общественных началах" и ни разу не за бабло). Тут же начал писать в комментах мол "я сделал опровержение и это все фейк". Только вот опровержение — херня полная. Да еще и чел на личности переходить начал. Смотрите скрины ил по ссылке: http://4pda.ru/forum/index.php?showtopic=882570&st=40
Алсо, чувак мгновенно удалил свой второй "ответ" и поэтому на втором скрине только мой остался. Уровень: пиарщик бургера, чо.

Иллюстрация к комментарию
Иллюстрация к комментарию
показать ответы
12
Автор поста оценил этот комментарий
Да он программист наверна. Это они всякие штуки-дрюки умеют. Ну ещё их можно попросить кофеварку починить.
раскрыть ветку (1)
13
DELETED
Автор поста оценил этот комментарий

Ну мааааам.

3
Автор поста оценил этот комментарий
А чем слелиш за трафиком? Но нужно для Андрюши.
через адб?
раскрыть ветку (1)
8
DELETED
Автор поста оценил этот комментарий

Fiddler.

показать ответы
9
Автор поста оценил этот комментарий

Скорее всего через прогу fiddler

раскрыть ветку (1)
12
DELETED
Автор поста оценил этот комментарий

Fiddler и есть :)
Плюс сертификат для расшифровки HTTPS.

показать ответы
2
Автор поста оценил этот комментарий
Ох какой сюрприз вас ждёт, когда познакомитесь с вебвизором Яндекса :-) Любой сайт, на котором стоит яндекс метрика спокойно записывает ваши перемещения по сайту, движения мыши, ввод в формы и т.п. Потом можно на досуге посмотреть, что люди делают на сайте. В appsee вряд ли идёт непосредственная запись экрана, а как раз то, что вы указали как сопоставление касаний и интерфейса приложения. Обычно делается для анализа удобства работы с приложением. Данные карты там не пишутся. За это массово могут вздрючить всех задействованных, особенно в свете последних изменений в политике хранения пользовательских данных GDRP.
раскрыть ветку (1)
7
DELETED
Автор поста оценил этот комментарий

Метрика в вебе режется чуть ли не по дефолту браузерами уже.

показать ответы
12
Автор поста оценил этот комментарий
Сразу вспомнилась серия "Черного зеркала" как раз на эту тему, про троллей с видеозаписями, разводившими людей на бабло.
раскрыть ветку (1)
7
DELETED
Автор поста оценил этот комментарий

Офигенная серия, кстати. Но тут не запись вебки.

2
Автор поста оценил этот комментарий
Фэйк, потверждаю здесь: http://4pda.ru/forum/index.php?showtopic=882570&view=findpost&p=74993079
раскрыть ветку (1)
8
DELETED
Автор поста оценил этот комментарий
Ответил на Ваше "разоблачение" там, продублирую и здесь. А еще Вы — куратор темы приложения Бургера, что как бы намекает.

"piuatifon, мои поздравления.

Я — автор поста на Пикабу и я в посте указал что:


а) Данные банковских карт все равно записываются т. к. не проставлен SensitiveView

б) доступ к видео имеют все, начиная от БК и заканчивая партнерами AppSee

в) Приложение беспрерывно пишет видео и приводит к большому расходу трафика

г) Бургер Кинг не уведомляет ни о метрике, ни о записи экрана в то время как остальные уведомляют


Такое себе разоблачение, если честно. Хоть бы читали внимательнее.

P. S: мне искренне пофиг на то, в какой там версии приложения обещали бесплатный бургер.

Рекламировали его поначалу именно как приложение с "бесплатным бургером".

"
показать ответы
15
Автор поста оценил этот комментарий

Так может нужно на это разрешение спрашивать? Например: "В целях улучшения качества работы приложения, ему потребуется разрешение на запись видео с экрана, согласны ли вы на это?" И далее - стандартное окошко андроида, которое разрешает/запрещает данное действие (с ios не сталкивался - не знаю, как там). А не приделывать данный функционал через запрос к серверу, скрывая это от пользователей?

раскрыть ветку (1)
5
DELETED
Автор поста оценил этот комментарий

На iOS примерно тоже самое, но там нет системного запроса аля "Хочу снимать экран для аналитики" (только для ReplayKit-приложений, т. е. всякие игры) и это отдано приложению.

>Например: "В целях улучшения качества работы приложения, ему потребуется разрешение на запись видео с экрана, согласны ли вы на это?"

Приложение БК вообще не говорит о аналитике и записи экрана.

показать ответы
4
Автор поста оценил этот комментарий
Эта статья пойдет как инструкция?
https://m.habr.com/company/infopulse/blog/156711/
раскрыть ветку (1)
9
DELETED
Автор поста оценил этот комментарий

Вполне, но лучше официальный гайд у Телерика.


Для Android: http://docs.telerik.com/fiddler/Configure-Fiddler/Tasks/Conf...

Для iOS: https://docs.telerik.com/fiddler/Configure-Fiddler/Tasks/Con...


Если вкратце — настроить прокси на устройстве до IP/хост компа с фиддлером и портом 8888 + скормить HTTPS сертификат.

показать ответы
24
DELETED
Автор поста оценил этот комментарий

32 это ещё мало...

Иллюстрация к комментарию
раскрыть ветку (1)
6
DELETED
Автор поста оценил этот комментарий

Прямо сейчас в лисе открыто ~100 вкладок.

показать ответы
6
Автор поста оценил этот комментарий
Мож подскажешь какой браузер на дроид поставить? Пользовался яндекс-браузер, но чет теперь неохота))
раскрыть ветку (1)
6
DELETED
Автор поста оценил этот комментарий

Firefox + uBlock.

показать ответы
144
Автор поста оценил этот комментарий

Я уже писал статейку о том что разные приложения собирают инфы немеряно. А Гугл - так вообще.

Если я запилю пост сколько инфы собирает официальный клиент Пикабу и Гугл Маркет вы тут все в шапочках ходить будете из стали (даже не фольги)....

раскрыть ветку (1)
10
DELETED
Автор поста оценил этот комментарий

А там что-то кроме ЯМетрики разве есть?

показать ответы
405
DELETED
Автор поста оценил этот комментарий

Никак иначе, увы, не смог это описать.

Иллюстрация к комментарию
раскрыть ветку (1)
11
DELETED
Автор поста оценил этот комментарий

Кому интересно — сводку и инфу о этой ситуации буду постить вот сюда https://fennikami.cf/

показать ответы
2
Автор поста оценил этот комментарий

Ага, у них даже если автозагрузку приложений отключить нафиг, то запуск одного запускает все остальные.

Как приятно на моём сэйлфише pkill yandex через консоль или просто отключить андроид.

раскрыть ветку (1)
4
DELETED
Автор поста оценил этот комментарий

Ух ты, Sailfish еще жив?

показать ответы
1
Автор поста оценил этот комментарий
В системных настройках поищи "контроль трафика". Ещё есть варианты фаервола в виде "ДокторПаутина" и аналогичных продуктов.
Иллюстрация к комментарию
раскрыть ветку (1)
4
DELETED
Автор поста оценил этот комментарий

На Андроиде без рута грустно, только фаерволлы которые имитируют ВПН (как и на iOS).

показать ответы
1
Автор поста оценил этот комментарий
Так сказали, что пишет когда приложение запущено. На Андроиде его можно просто свернуть, но оно будет включено. Тогда оно будет писать пока его не закроешь
раскрыть ветку (1)
4
DELETED
Автор поста оценил этот комментарий

На iOS оно пишет пока приложение на foreground (передний план / открыто), если его свернуть — не сможет писать что-то кроме себя. На Android все хуже и оно может писать даже в свернутом виде и вполне возможно что не только себя.

7
Автор поста оценил этот комментарий

Напиши в эпл - их должны забанить мгновенно.

раскрыть ветку (1)
11
DELETED
Автор поста оценил этот комментарий

Такая метрика, увы, не попадает под запреты App Store.

показать ответы
9
Автор поста оценил этот комментарий

Ну так на Хабре тоже не такие все умные и всезнающие, как им хочется казаться :)

раскрыть ветку (1)
1
DELETED
Автор поста оценил этот комментарий
Так и есть. Плюс, большинство — «илита» (через «и»), которые уж точно «лучше пикабушников».
1
Автор поста оценил этот комментарий

@fennikami, а запись работает только в приложении? Например если оставить приложение в фоновом процессе и открыть, например пикабу запись будет идти только с приложения бургеркинга? Или будет записывать весь экран?

раскрыть ветку (1)
6
DELETED
Автор поста оценил этот комментарий

На iOS — должно только внутри приложения. На Андроиде — может весь.

1
Автор поста оценил этот комментарий

Получается, ты перехватил видеофайл из трафика? Или он сохраняется где-то на устройстве и затем пересылается?

раскрыть ветку (1)
6
DELETED
Автор поста оценил этот комментарий

Да, из трафика (в посте же указано). Пересылается он как-то совсем сразу, так что скорее всего — это стрим с возможностью дублирования локально на всякий случай.

показать ответы
1
Автор поста оценил этот комментарий
Подскажите приложение или гайд для андроида что бы посмотреть на подобную активность?
раскрыть ветку (1)
5
DELETED
Автор поста оценил этот комментарий

Самое простое: поставить веб-дебагер вроде Fiddler и смотреть на трафик.
Но для этого нужны хоть какие-то познания в том как работают запросы и прочее + навык обращения с этим самым дебагером.

Автор поста оценил этот комментарий

А ещё они обещают бесплатный бургер при регистрации их карты. Потом это оказывается что ты можешь получить 100 бонусов и то после покупки на сумму 300р. Я неделю ругался с их саппортом.

раскрыть ветку (1)
3
DELETED
Автор поста оценил этот комментарий

А мне не смогли выдать карту, пришлось идти в соседний и делать покупку еще там, потому что просто так эту карту выдать не могут (и вообще про нее не говорят).
И всё ради того, чтобы узнать что действует она только при покупках на кассе, в терминале и приложении (том самом, что экран пишет) — хрен.

Автор поста оценил этот комментарий

Мда уж... Примерно также разбирал клиент Приват24 для iOS и там в свободном доступе лежал и пароль от Приват24, и пин код от карты и куча конфиденциальной информации.

раскрыть ветку (1)
2
DELETED
Автор поста оценил этот комментарий

Мэйл.срушное приложение почты срет в iOS Keychain голым паролем.

показать ответы
2
Автор поста оценил этот комментарий

Ну офигеть теперь! Они прям первые, кто собирает статистику через appsee. Ещё, небось, крэшлоги, ироды, тырят у пользователя

раскрыть ветку (1)
6
DELETED
Автор поста оценил этот комментарий

AppSee — говнина. :)
А AppSee пишущий экран во время ввода карты — говнина вдвойне.

показать ответы
Автор поста оценил этот комментарий
Может сделать "флешмоб" всем Пикабу- запустить приложение и член в кадр.
раскрыть ветку (1)
3
DELETED
Автор поста оценил этот комментарий

Оно не пишет камеру, оно пишет экран.

показать ответы
2
Автор поста оценил этот комментарий

@moderator, автор врет как минимум по 4 пунктам.


1. Он пишет, что запись идет постоянно и постоянно отправляется на сервера. Это опровергнуто. Только в редких случаях.


2. Он пишет, что это работает даже для пользователей мобильного интернета. Это тоже опровергнуто. Только по wi-fi.


3. Он пишет, что приложение записывает даже данные банковских карт. Это опровергнуто.


4. Он пишет, что доступ к данным метрики имеют абсолютно левые люди, которые никак не связаны ни с Бургер Кингом, ни с сервисом аналитики. Это опять же наглое, неподтвержденное вранье.


И вы говорите, что это все не является вбросом? Вы в своем уме?


@admin, ты ведь разработчик. Ты знаешь об этих метриках. Это все нормально вообще или нет?

раскрыть ветку (1)
2
DELETED
Автор поста оценил этот комментарий

1. Всегда. В-с-е-г-д-а.
Нет ни выборки (как говорит БК), ни деления на Wi-Fi / Cellular.
2. Нет.
3. Не опровергнуто, смотрим видео здесь: https://youtu.be/L_V1hw5EFLE
Пока что БК показал только левое отредактированное видео, НЕ показав меню добавления банковской карты (только бонусной).
4. Смотрим на партнеров AppSee — раз, смотрим на цепочку из разработчиков приложения БК — два.

И вы говорите, что это все не является вбросом? Вы в своем уме?

Да, не является. Я доказал все по пунктам.
#comment_117201847

показать ответы
Автор поста оценил этот комментарий
Если кому интересно, трафик слушается через Fiddler. Только нужно с проксированием погемороиться
раскрыть ветку (1)
4
DELETED
Автор поста оценил этот комментарий

Да нет геммороя. Прокси прописать да сертификат впихнуть.

показать ответы
7
Автор поста оценил этот комментарий

Если ТС не лжет, то выходит, что Бургер Кинг жестко нарушает GDPR. За такое их очень жестко выебут. Нужно лишь, чтобы несколько граждан ЕС заметили данный факт и инициировали судебный процесс.

раскрыть ветку (1)
9
DELETED
Автор поста оценил этот комментарий

В России хрен кладут на GDPR.

показать ответы
1
Автор поста оценил этот комментарий

А они не должны предупредить, что собираются записывать видео с экрана мобильного приложения?

раскрыть ветку (1)
3
DELETED
Автор поста оценил этот комментарий

Ну по-хорошему — должны показать хотя бы уведомление, но нет.

2
Автор поста оценил этот комментарий
Дружище, а можешь проверить приложение алиэеспресс? А то там тоже при покупке данные карты постоянно вношу.
раскрыть ветку (1)
5
DELETED
Автор поста оценил этот комментарий

Попробую позже.

9
Автор поста оценил этот комментарий

не спасает. в опенсорсе тоже то и дело попадаются подобные приколы. АНБшные бекдоры в опенссл же пропустили (спасибо сноудену за рассекреченивание).

раскрыть ветку (1)
5
DELETED
Автор поста оценил этот комментарий

В ОпенССЛ не АНБшный бэкдор, а распиздяйство (если речь о Heartbleed).

показать ответы
1
DELETED
Автор поста оценил этот комментарий
Начиная с Android 6, вроде, можно просто отозвать у приложения доступ к камере.

Главное, не впадать в паранойю, если приложение запрашивает доступ к телефону - это ещё не значит, что оно собирается делать звонки. Возможно, оно IMEI хочет обнюхать.

Aliexpress, например, очень многое пытается получить об аппарате, чтобы бороться с халявщиками, создающими сотни аккаунтов ради купонов (ах, эти славные времена, когда давали 4 от 5).
раскрыть ветку (1)
3
DELETED
Автор поста оценил этот комментарий

Здесь не камера, а экран.
А Алик ломается на раз спуфингом того же IMEI и Android ID.

Автор поста оценил этот комментарий

@fennikami, а что насчет яндекс браузера, есть инфа?

раскрыть ветку (1)
5
DELETED
Автор поста оценил этот комментарий

Надо будет потом посмотреть.
Не рискну его запускать на своем компе/телефоне, поэтому в виртуалку засуну.

показать ответы
3
DELETED
Автор поста оценил этот комментарий

И еще один пиарщик БК вылез и снова у меня есть аргументы!

#comment_117083752

61
Автор поста оценил этот комментарий

скорее всего у него нет цели именно заполучить супердоступ на аппарате, нежели он проверяет возможность его заполучения, делая запрос. Если во время запроса ПО сбера обнаруживает супердоступ, то он ради безопасности или какой-то еще логики шлёт владельца аппарата нахер. Похожая логика кстати у самсунга с их knox - однажды рутнутый телефон от этой марки уже никогда не сможет быть платежеспособным через сервис самсунг пэй

раскрыть ветку (1)
11
DELETED
Автор поста оценил этот комментарий

Да, знаю. И про рут, и про Knox (бывший любитель Galaxy). Тут суть в том что Сберу ничто не мешает этот самый рут получить, тк при проверке он делает полноценный запрос к su.

показать ответы
Автор поста оценил этот комментарий

зря ты это все сюда написал и в хабр тем более. Правительство с бургера сейчас денег поимеет а тебе ни копейки. А надо было с этим делом сразу идти в крупную адвокатскую контору...

раскрыть ветку (1)
3
DELETED
Автор поста оценил этот комментарий

Я не ради денег же.

показать ответы
Автор поста оценил этот комментарий
Какая? Где? Не знал.. Скажите пожалуйста
раскрыть ветку (1)
2
DELETED
Автор поста оценил этот комментарий
4
Автор поста оценил этот комментарий
Именно. Экран с камеры, снимающей член.
раскрыть ветку (1)
2
DELETED
Автор поста оценил этот комментарий

На айфоне — экран внутри приложения. На андроиде — возможно :)

показать ответы
53
DELETED
Автор поста оценил этот комментарий

Я предоставил видео-доказательство (по данной ссылке: https://youtu.be/L_V1hw5EFLE) того, что поля ввода данных, в том числе — банковских карт, не скрываются.

Видео отправляется каждый раз при запуске (в чем вы сами можете убедиться, отследив трафик приложения).

Таким образом я имею опровержение официального ответа Burger King о том, что «личная информация скрыта» и того, что якобы используется выборка на 10% пользователей.


Стоит отметить, что ни в одном из официальных видео Burger King (где они якобы демонстрируют скрытие личных данных) не показано меню привязки банковской карты.

В этом видео оно показано.


Также хочу отметить, что после публикации оргинального расследования — на мой блог начались хакерские атаки (брутфорс админки, поиск эксплоитов, попытка DDoS).


Я готовлю второй пост на эту тему.

@moderator, добавьте, пожалуйста, эту информацию в мой пост. Спасибо.

раскрыть ветку (1)
4
DELETED
Автор поста оценил этот комментарий

@admin Вас тоже призываю исправить пост.

показать ответы
Автор поста оценил этот комментарий

Ясно. Я посмотрел на дроиде это приложение, и оно ещё требует доступ к камере. Может, с эти связан какой-то функционал - хз.

раскрыть ветку (1)
DELETED
Автор поста оценил этот комментарий

¯\_(ツ)_/¯

5
Автор поста оценил этот комментарий

мораль для всех разработчиков: используйте cert-pinning)

раскрыть ветку (1)
4
DELETED
Автор поста оценил этот комментарий

Пиннинга, кстати, ни у кого из русских нет.

5
Автор поста оценил этот комментарий

Эмм, ну тип пишется только само приложение. Никакие сторонние сервисы в запись не попадают. Могут стать доступны, но таким же образом может стать доступна и инфа о привязанных картах в текстовом виде. В этом случае видео вообще не нужно: нафига видео, если есть все логины, пароли и коды в текстовом виде. Поэтому не вижу смысла в претензии "не в Dev\null улетают, а где-то хранятся и могут стать доступными вообще третьим лицам". Вот в записи экрана пользователя без предупреждения это да, по мне это не очень. Если бы они бы сделали чекбокс при включении, типо "разрешить программе записывать экран приложения для улучшения качества услуг" (с возможностью снятия отметки, конечно же), было бы, на мой взгляд, приятнее.

раскрыть ветку (1)
8
DELETED
Автор поста оценил этот комментарий

Там нет чекбокса на соглашение (или какого-либо уведомления) — раз, данные карты могут записаться во время их ввода — два.

показать ответы
1
DELETED
Автор поста оценил этот комментарий
Комментарий удален. Причина: данный аккаунт был удалён
раскрыть ветку (1)
6
DELETED
Автор поста оценил этот комментарий

Даже Гугл сервисы не такая хуита по сравнению с AS.
А так — AS не противоречит правилам App Store / Google Play, увы.

8
Автор поста оценил этот комментарий

Чувак, это бомба. Должно полететь много голов. Ты большой молодец.

раскрыть ветку (1)
10
DELETED
Автор поста оценил этот комментарий

Спасибо!

6
Автор поста оценил этот комментарий
Жизнь без гапсов и только приложения с открытым исходным кодом. Да, я согласен, что у меня паранойя, но блядь...
раскрыть ветку (1)
4
DELETED
Автор поста оценил этот комментарий

Норм. Для гаппсов есть открытая альтернатива, к слову.

показать ответы
8
Автор поста оценил этот комментарий

Серьезно?! Эпл вроде всегда была за сохранность данных. Я так понимаю на ios они в любом случае не смогут ничего писать в фоне  - только запись своего приложения?

раскрыть ветку (1)
5
DELETED
Автор поста оценил этот комментарий

Да. На старых айосях (iOS 11.3.1 и ниже) приложение может "сбежать" из песочницы и делать что угодно вне себя, но в случае с БК — да, только внутри приложения (если iOS).

показать ответы
1
DELETED
Автор поста оценил этот комментарий

@moderator Добавьте, пожалуйста, данный текст в начало поста:
"Мой блог: https://fennikami.cf, для связи со мной пишите на https://fennikami.cf/contact/"
т. к. мне начали писать журналисты.

2
Автор поста оценил этот комментарий
Хмм, а на Али тоже пишется? Многие же оплачивают вводом карты.
раскрыть ветку (1)
4
DELETED
Автор поста оценил этот комментарий

Можно посмотреть.

1
Автор поста оценил этот комментарий