Starbucks soluciona los problemas de seguridad de su aplicación con una actualización

COMPARTIR 0 TWITTEAR

App Starbucks

Ayer os contamos que la app de pago móvil de Starbucks, la más utilizada en Estados Unidos para realizar pagos con el iPhone, no encriptaba los datos de sus usuarios, permitiendo fácilmente acceder a estos ya que eran almacenados en un simple archivo de texto. Hoy, y después del revuelo que se ha levantado debido a este asunto, Starbucks actualiza su app mejorando la seguridad según podemos leer en Cult Of Mac.

Inicialmente fue el investigador de seguridad Daniel Wood quien descubrió la vulnerabilidad de la aplicación, y así se lo hizo saber a la propia Starbucks, pero ante la falta de respuesta decidió publicar la información en Internet, teniendo bastante repercusión ya no solo en Estados Unidos, que es dónde se puede utilizar la app, sino en todo el mundo.

El CEO de Starbucks declaró que se habían tomado las medidas de seguridad necesarias para evitarlo, lanzando una actualización, sin embargo, a pesar de las supuestas medidas tomadas, la vulnerabilidad en si seguía presente en la propia aplicación según Daniel Wood.

El problema residía en que la aplicación almacenaba de forma insegura los ficheros de log cuando había un cierre o crash en la aplicación. En los ficheros creados en un crash se guardaban datos como el usuario, contraseña, la dirección de correo o el registro de las localizaciones.

Estos datos, almacenados en el fichero session.clslog, eran gestionados por la empresa Crashlytics, que fue comprada por Twitter el año pasado, y que se dedica al desarrollo de herramientas para detectar fallos de software. Con la actualización que ha lanzado hoy la compañía en la App Store norteamericana, la 2.6.2, lo que ha hecho Starbucks ha sido deshabilitar el registro adicional que se estaba produciendo por Crashlytics.

Según podemos leer en iMore, han realizado pruebas una vez actualizada la app y el fichero session.clslog queda vacío después de realizar varias acciones como cerrar o iniciar sesión, crear nuevas cuentas de usuario, etc.

Parece que Starbucks ha solucionado el problema aunque tiene pinta de ser más un parche temporal que una solución verdadera. De todas maneras, han reaccionado bastante rápido, aunque, por otra parte, era lo que debían hacer. Habrá que ver lo que dice Daniel Wood al respecto, así que estaremos atentos a las novedades.

Archivado en Seguridad, Starbucks
COMPARTIR 0 TWITTEAR

Comentarios (16)

Usa tu cuenta de Facebook para dejar tu opinión.

Otras webs de Difoosion