Приложение для iPhone, выпущенное сетью кофеен Starbucks, сохраняет на устройстве в незашифрованном виде личные данные пользователя из профиля Starbucks. Об этом сообщает Computerworld со ссылкой на исследование, проведенное посетителем Starbucks Дэниэлом Вудом (Daniel Wood).
Вуд выяснил, что программа записывает в файл в памяти телефона логин, пароль и почту пользователя. Все эти данные хранятся в виде «открытого текста» (plain text). Считать информацию может любой человек, получивший доступ к смартфону и имеющий под рукой компьютер для открытия файла.
Представители Starbucks в интервью CNN признали, что в программе есть уязвимость, однако усомнились в том, что ей могли воспользоваться злоумышленники. Они отметили, что пока не получили от пользователей приложения жалоб на несанкционированные действия в аккаунтах.
Приложение позволяет расплачиваться за еду и напитки с помощью смартфона. Деньги списываются со счета пользователя в собственной системе Starbucks. Украв логин и пароль, злоумышленник мог бы делать покупки в кофейнях за чужой счет до тех пор, пока на нем не кончатся средства.
По данным исследовательской компании Berg Insights, по состоянию на июнь 2013 года программа Starbucks являлась самым популярным приложением для совершения мобильных платежей в США, обгоняя PayPal. Помимо iOS, приложение Starbucks доступно на устройствах на базе Android.