Дмитрий Ковалёв, глава компании-разработчика Lodoss, рассказал на своей странице в «Фейсбуке», как системы мобильной аналитики могут быть использованы для кражи данных пластиковых карт.
Пришел к нам однажды заказчик с одним работающим мобильным приложением. Попросил добавить туда некоторый функционал. Мы посмотрели код и увидели, что используется штука для аналитики, которая называется APPSEE. Круто думаем, сейчас посмотрим какие есть проблемы.
Попросили у заказчика доступ к этой штуке, а заказчик сказал, что и сам не знает откуда она там взялась. Видимо, предыдущий программист добавил. Мы немножко напряглись. Подумали и не стали отключать, а решили вернуть доступ. Написали в саппорт, объяснили ситуацию и буквально за пол дня нам вернули доступ.
Мы [сильно удивились] от того что увидели. Эту APPSEE можно настроить так, чтобы записывать видео с указанных экранов. И настроена она была на запись видео с экранов, где человек вводил данные от своей кредитки или PayPal. У нас оказалась гора видеозаписей на которых видно как люди вводят свои данные. Если бы я не был добрым, я бы был богаче.
Не вводите свои данные в [нехороших] приложениях. Вас может снимать скрытая камера.
Добавить 8 комментариев
Как говорится: «И чооо?»
Видел чувака, следившего за соседом в телескоп в своей квартире за тем, что печатает сосед у себя на клавиатуре. Бойтесь
Видел одного товарища, который смотрел, что коллеги печатают в офисе. Бойтесь.
С такими советами только на кладбище пойти, это раз.
А применимость этой схемы для мошенничества — околонулевая: мошенникам нужна масса данных. Массу данных получают только популярные приложения. Популярным приложениям (зарабатывающим на чем-то деньги (!)) больше делать нечего, кроме как тырить данные с кредитных карт юзеров. Это два.
Охранник любого офиса может видеть как люди вводят пароли/смс и прочие данные на телефонах и компьютерах. Камеры же повсюду развешаны
Ну это же кулстори про чувака, который не знал, что в его приложении установили такую штуку. Может быть таких чуваков много — надо проверять, что у тебя под капотом твоего же продукта.
Одни разводят истерику и кричат про «зонды ЦРУ» из-за некоторых вполне себе невинных функций Windows 10, радуются блокировке LinkedIn, «воровавшей персональные данные россиян», и хватаются за сердце, заслышав как у очередной компании утекли какие-нибудь хэши. Другие же читают про явно подозрительную аналитику, которая очевидно не обезличенно записывает видео с экранов устройств в момент ввода платежных данных и хранит его непонятно где, как и зачем, и реагируют на все это уровне «ну и чо?». Чудесен мир в своем многообразии.
Кааак? Неужели, если что-то вводишь в приложении, то его владелец сможет получить эти данные?
Неожиданность вселенского масштаба.
Шок, интриги, расследования.
Предупрежден — вооружен. Это больше для информации владельцам приложений, что неплохо бы контролировать что там делают фрилансеры в твоей аналитике. Пример очередного раздолбайства.
Новость подтверждает тезис о том, как много неадекватных «глав компаний» в малом бизнесе. Если пройти по ссылке этого самого APPSEE, то они сразу же на главной странице и заявляют о функционале решения, да записывает, да, все происходящее на экране. Даже само название говорит о том, что все будет видно.
Ждем нового поста от главы компании о том как ножи могут быть использованы для убийства человеческих существ.
Что толку от его FB?
Пусть пишет сразу в MasterCard и VISA. И добавит в копию PCI SSC.
Вот они то настучат по голове директору компании, которая владеет приложением.