Si eres usuario de la app de Starbucks para iOS te interesa conocer este fallo de seguridad que ha sido publicado en la popular lista de seguridad Full Disclosure. En él se detalla que la app que actualmente está publicada en la App Store de Starbucks, la versión 2.6.1, hace un almacenamiento inseguro de los ficheros de log cuando se produce un crash de la app. En esos ficheros de crash queda información sensible como el usuario, la contraseña, la dirección de correo o los token OAuth que usa la app para su funcionamiento.
Figura 1: Starbucks para iOS con acceso a tus puntos y dinero |
El fichero en cuesto se encuentra en la ubicación /Library/ Caches/ com.crashlytics.data/ com.starbucks.mystarbucks/ session.clslog y en formato HTML se puede acceder a la información anteriormente citada. Para acceder a esta información - y gastarse todo tu dinero con tu cuenta - es necesario tener acceso a estos ficheros, así que vigila a tu pareja, familia y/o compañeros de trabajo que no te roben tu Chai-Tea Late con Leche de Soja.
No hay comentarios:
Publicar un comentario