Starbucks’tan Uygulama Güvenlik Açığına Hızlı Yama

Bu hafta başında Starbucks’ın iOS mobil uygulamasınıdaki bir açığın uygulamayı indiren müşterilerin kişisel bilgileri hackerlar tarafından erişilebilir hale getirdiğine dair bilgiler geldi. Teknoloji firması olmamasına rağmen duruma hızla müdahele eden Starbucks bu açığı kapatan yeni sürümünü geçtiğimiz günlerde yayınladı.

Tabi ki Starbucks bu sebeple para sıkıntısı çekmiyor ancak Aralık ayında ortaya çıkan bir güvenlik açığının Ocak ayında giderilmesi güvenlik yamalarına gösterilen değeri ortaya koyuyor. Güvenlik açıklarının ortaya çıkması ve giderilmesi süresi genellikle üretici onayları, bütünleştirme, evriştirme gibi süreçlerinin ardından aylar sürmektedir.

İlk ve önemli olan konu: eğer Starbucks mobil uygulamasını indirdiyseniz App Store’u ziyaret edip iPhone, iPad ve diğer iCihazlarınızda yeni sürümünü güncellemelisiniz.

Sıkıcı teknik detayları bir kenara koyarsak güvenlik açığı 16 Ocak tarihine kadar var olan 2.6.1 sürümünde mevcuttu. Şirket 2.6.2 sürümü ile bu açığı giderdi. Bu yeni sürümün güncellemesini Apple App Store’dan indirebilirsiniz.

Threatpost’tan Chirs Brook’un raporuna göre güncellemeyi yapmayan kullanıcılar, Ad Soya, adres, cihaz kimliği ve çeşitli coğrafi konum bilgilerinin ele geçirilmesi tehlikesi ile karşı karşıyalar.

Kahve devinin uygulaması tüm bu bilgileri kriptolamadan açık halde, Crashlytics isimli Boston firması tarafında geliştirilen üçüncü parti çökme koruması çözümünün içindeki bir kayıt dosyasında tutuyor.

Bu açığı keşfeden Open Web Application Security Project (OWASP) üyesi araştırmacı Daniel Wood, bu güvenlik açığını uygulama güvenliğindeki başarılı yöntemleri izlememe hatası olarak nitelendiriyor.

“Starbucks bu verilerin Crashlytics kayıt dosyalarında açık bir şekilde bulunduğunu filtre etmeli ve gözden geçirmeliydi” diyor Wood.

Crashlytics mobile uygulama üreticileri için hata raporlama çözümleri geliştiriyor. Starbucks kendi uygulamasında bu firmanın çözümünü kullanmış ancak implementasyon sırasında hata yapmış gözüküyor.

Crashlytics kurucusu Wayne Chang Threatpost’tan Chiris Brook ile eposta üzerinden servislerin birine ait açık text kayıt altına alma özelliği hakkında konuştu. Threatpost’a aktardığına göre Crashlytics kullanıcı adı ve şifreleri otomatik olarak toplamıyor. CLSLog isimli bu özellik uygulama geliştiricilerden tarafından istenirse kullanılabilen seçimlik bir özellik.

Eğer merak ediyorsanız, Starbucks uygulaması müşterilerin Strabucks kartlarını akıllı telefonlarına bağlamalarını ve böylece Paypal veya kredi kartı gibi ödeme yöntemlerini kullanmalarını sağlıyor. Ayrıca akıllı telefonlarını dünya çapında Starbucks’larda mobil ödeme mekanizması olarak kullanmalarına imkan veriyor.