БЛОГ / КОММЕНТАРИИ

Комментарий разработчика приложения "Бургер Кинг"

софт

13.07.2018 11:09

Комментарии 64

"Да но у нас есть логи кто нажал на это незамазанный рандомный ресторан
В какое время и другая информация для точной идентификации устройства и пользователя, так же мы конечно сразу проверили ваши аккаунты"(с) Директор департамента диджитал-проектов
«Бургер Кинг Россия» Сергей Очеретин

http://4pda.ru/forum/index.php?showtopic=882570&st=80#entry75048831

Все, что вам нужно знать про АНОНИМНЫЙ сбор информации приложением БК. 😄

Paul

14.07.18 09:10

0 0

вот вторая часть расследования:
pikabu.ru

Замдиректор

14.07.18 08:48

0 0

Краткое содержание комментария: "Мы обгадились, но это был запланированый акт, все под контролем, и вообще это на самом деле трюфели, а не фекалии, а вы все дураки и не лечитесь".

Комментарии юристов:
habr.com/company/roskomsvoboda/blog/417145/

Автор первой статьи написал вторую часть с разбором лживого комментария разработчиков приложения.
https://habr.com/post/417161/

Занятная ремарка из апдейта первой статьи:

Также хочу отметить, что после публикации оргинального расследования — на мой блог начались хакерские атаки (брутфорс админки, поиск эксплоитов, попытка DDoS).

В каментах к статьям народ тоже немало всего интереснго понаписал. Например, как вам расход за месяц мобильного трафика приложением "Бургер Кинг" в размере 0.95Гб?

Paul

14.07.18 08:24

0 1

Меня интересует другой вопрос.

Почему новое приложение Burger King работает только с Андроид версии 5 и выше???

У меня на смартфоне Alcatel версия Андроида 4.4, у жены на смартфоне Alcatel - версия 4.3, у неё же на планшете Samsung Galaxy - версия 4.2 Итого ни на одном из ТРЁХ устройств данное приложение установить нельзя!

Какие такие продвинутые возможности Андроида там используются, что ниже Андроида 5 - никак?!..

AKayumov

14.07.18 02:06

0 0

Для разработчиков поддержка старых версий андроид скорее всего будет означать параллельную разработку двух отдельных версий приложения для старых и новых версий андроида. Вероятно, владельцы БГ посчитали это экономически нецелесообразным.

Дело не только в продвинутых возможностях, развивается и сама среда разработки, фреймворки, библиотеки и т.п., нет никакого смысла отказываться от новых фишек, повышающих удобство разработки и сопровождения приложения, стабильность и т.п. Это как если бы разрабы приложения под Вин10 беспокоились бы о его совместимости с ВинХР. Теоретически, так можно сделать, но нафига? Хотя пользователей ВинХР осталось не так уж и мало.

Paul

AKayumov

14.07.18 08:59

0 0

Не, ну WinXP-то когда вышла!.. А моему телефону - всего 2 (!) года (он моложе Windows 10!). Планшету жены - 4 года, это как Windows 7 (и тоже моложе).

Если BG хочет всех пересадить на приложение, чтобы экономить на кассирах, то почему им подходят пользователи лишь с САМЫМИ современными смартфонами??? Так они слона не продадут, как говорится. 😄

BG - единственная (!) программка, которую я хотел, но не смог установить себе на смартфон.

AKayumov

Paul

15.07.18 01:07

0 1

Кратко. Мы порядочные. Обещаем! (с)

В реале, конечно, в этой статье только обещания честности, никаких механизмов контроля нет. "Все приложения надо отлаживать" - ага, и все собирают скриншоты. "Замазывают поля данных" - ага, а значит мой любимый порносайт не замазывает, ясно. Не удивительно, что на этом попались в России - с нашими-то судами всё похер. Попробовали бы собирать такую метрику в США. Любой чел за один судебный иск разорил бы этот Бургер Кинг в неделю.

13th

14.07.18 00:04

0 0

Этот функционал одобрен GDPR. В США законодательство значительно мягче, мы тоже GDPR проклинаем.

Чёрт, надо как-то уходить из темы, бесполезно же пытаться объяснить.

tarkus

13th

14.07.18 01:42

0 0

Этот функционал одобрен GDPR

функционал - функция, имеющая произвольную область определения и числовую область значения.
Функциональность библиотеки не может быть "одобрена гдпр". Деятельность компании может нарушать гдрп, а может не нарушать. Деятельность бк в данном случае нарушает. Не только гбпр, но, даже российский фз.

Чёрт, надо как-то уходить из темы

да, сделайте милость, не пишите дурь и не врите напропалую, раз уж совсем не разбираетесь в теме. Спасибо.

dime

tarkus

14.07.18 11:40

0 0

habr.com

Юристы РосКомСвободы полагают, что у ООО «Бургер Рус» есть как минимум признаки нарушений, п.5, п.6, п.18.1, п.19 Федерального закона «О персональных данных» ....

xoxol

13.07.18 22:53

0 0

Странно обвинять разработчиков в наличии возможности утечки персональных данных. Вспоминается анекдот: "Ну тогда судите и за изнасилование, аппарат же есть". Почему тогда только Бургер Кинг? Абсолютно все приложения, сайты, платежные терминалы, продавцы имеют возможность "украсть" данные вашей платежной карты.

DenisSV

13.07.18 14:17

0 0

Абсолютно все приложения, сайты, платежные терминалы, продавцы имеют возможность "украсть" данные вашей платежной карты.

Но не все из них записывают видео с (временно замазанными) номерами ваших карт.

dime

DenisSV

13.07.18 14:32

0 1

Абсолютно все приложения, сайты, платежные терминалы, продавцы имеют возможность "украсть" данные вашей платежной карты

иметь возможность - это одно, а уже делать - другое. Простой сценарий - в результате ошибки, шутки, злого умысла обиженного работника поля с персональными данными больше не маскируются, а качество видео и fps резко возросло (последнее уже само по себе неплохо в качестве мелкой пакости). Видосики, понятное дело, по-прежнему куда-то утекают. В этом куда-то в один прекрасный день в результате хакерской атаки или сбоя все успешно утекает еще дальше.

paha

DenisSV

13.07.18 15:54

0 0

Я об этом и говорю, возможность слить данные карты есть у многих. Но пока они этого не делают их обвинять не в чем. А ваш сценарий применим и к другим сервисам имеющим дело с онлайн платежами. Совершенно же не важны как утекут данные карты, в виде видео или в виде обычных цифр.

DenisSV

paha

13.07.18 16:21

0 0

Я об этом и говорю, возможность слить данные карты есть у многих. Но пока они этого не делают их обвинять не в чем.

А когда сольют - будет уже поздно.
:)

xoxol

DenisSV

13.07.18 16:42

0 0

Ну что поделаешь, жизнь не совершенна. Убийцу тоже нельзя наказать до убийства.

DenisSV

xoxol

13.07.18 17:12

0 0

Я вот никак не могу понять, причём тут вообще видео?

olyx

dime

13.07.18 21:22

0 0

Я вот никак не могу понять, причём тут вообще видео?

при том, что за вами следят и вы на это не соглашались. При том, что вы этот вуайеризм нечистоплотных уродов с потными ладошками ещё и оплачиваете из своего кармана. Но если вас устраивает, то проблемы нет, конечно.

dime

olyx

13.07.18 22:40

0 0

Убийцу тоже нельзя наказать до убийства.

Приехали! А как же "приготовление к преступлению"? https://www.zakonrf.info/uk/30/

AKayumov

DenisSV

14.07.18 02:08

0 0

Я так понял что запись ведется только скринов этого самого приложения, а не всего что происходит на экране. В таком случае не вижу проблемы, чувствительные данные они замазывают. Выглядит как дебажная фича, которую кривовато настроилидля продакшена.

A_F

13.07.18 14:05

0 0

В таком случае не вижу проблемы, чувствительные данные они замазывают.

В данный момент замазывают. Но ни что не мешает отключить замазывание в любой момент. Кроме того, ставя приложение для покупки бутерброда вы не ожидаете, что оно будет слать мегабайты видео с вашего телефона.

dime

A_F

13.07.18 14:34

0 1

Согласен, я же говорю, криво для продакшена настроили сбор статистики.

A_F

dime

13.07.18 14:49

0 0

Почему криво-то? Эта штука именно так и работает.

dime

A_F

13.07.18 16:17

0 0

Она работает как настроишь - в продакшене обычно стараются минимум инфы собирать, чтоб не замедлять приложение и не засорять траффик. Штуки типа включение записи видео - это скорее для тестировщиков

A_F

dime

13.07.18 17:58

0 0

Чтобы не было в будущем восстания роботов, с точки зрения БК достаточно всего лишь прописать в их коде:
УбитьВсехЧеловеков=false

DENis_S

13.07.18 12:57

0 1

Слишком тонко, вероятно. Никто не понял.

Gilmir

DENis_S

16.07.18 10:30

0 0

Видео снимается в очень низком качестве (для уменьшения трафика),

Это настраивается. В любой момент можно увеличить качество видео.

передается только через WiFi

Да, например, через мобильный раутер в зарубежном роуминге.

любые пользовательские данные там скрываются (замазываются) до отправки видео.

Эта опция тоже отключаемая в любой момент. Кроме того, не любые, а только те, что разработчик укажет. Ну, и мы пока не имеем данных о способе "замазывания" данных - вполне возможно, что замазывание обратимо (не обязательно злонамеренно).

В сочетании с тем, что пользователя ни словом не предупреждают ни о записи видео ни о возможной внезапной посылке десятков мегабайт безобидным приложением, разработчики этого поделия - реальные уроды и их попытки оправаться - "все негров вешают и мы вешаем" выглядят убого.

dime

13.07.18 12:49

1 8

вполне возможно, что замазывание обратимо

или внезапно не срабатывает на каких-то кастомных компонентах

paha

dime

13.07.18 12:57

0 2

Или замазано только на скриншоте разработчика.
Собственно единственный реальный факт "приложение пишет видео рабочего стола без ведома пользователя и куда то его отправляет", все остальное либо со слов разработчика, либо элементарно настраивается. Тем более, насколько я понимаю, разработчик говорит даже не о их собственном приложении, а о третьем сервисе, к настройкам которого он вряд ли имеет доступ.

Kryss1982

paha

13.07.18 13:58

0 2

к настройкам которого он вряд ли имеет доступ

Имеет. И может в любой момент их изменить. Там, конечно, стоит предупреждение - обещайте не делать так. Ну, да, обещаем 😄.

dime

Kryss1982

13.07.18 14:35

0 0

Имеет. И может в любой момент их изменить

Больше даже скажу - он может натурально забыть отключить режим "для разработки" без всяких задних мыслей.

paha

dime

13.07.18 15:47

0 1

Яндекс Метрика предлагает инструмент вебвизор, который записывает полное взаимодействие пользователей с сайтом — кто и что кликал, сколько времени смотрел, какие формы заполнял.

Маркетинг/тех.поддержка активно использует технологии session mirroring это когда у стороннего человека, в режиме реального времени, дублируются все твои манипуляции с сайтом.

И что теперь?

v1adimir

13.07.18 12:20

0 3

Все линчуют негров и нам можно!

Vingent

v1adimir

13.07.18 12:25

2 1

И что теперь?

То, что вебвизор - это НЕ запись видео.

dime

v1adimir

13.07.18 12:28

0 0

Но выглядит как видео и крякает как видео. На самом деле, в чем разница-то?

v1adimir

dime

13.07.18 12:41

0 2

Все линчуют негров и нам можно!

Вы, товарищ, приписываете мне свои домыслы. Не надо!

v1adimir

Vingent

13.07.18 12:44

0 2

Ну если вы хотели сказать что то другое. Так скажите.
Можно или нельзя? )
Если нельзя, тогда к чему был ваш вопрос в стиле "А чо такого?" 😄

Vingent

v1adimir

13.07.18 12:55

0 0

На самом деле, в чем разница-то?

1. известные плагины отключают эту хрень.
2. в вебе данные банковских карт вы, обычно, не вводите на сайте со шпионскими троянами, а перекидываетесь на шлюз платёжной системы, где, перекрестясь, надеятесь (да и плагины не показывают предупреждений), шпионов нет. Конечно, это вопрос доверия, а на доверие вот именно такие вещи и влияют. Если какой-либо платёжный шлюз будет замечен в сливе данных третьим лицам, его зароют с ещё бОльшей скоростью.

dime

v1adimir

13.07.18 14:40

0 0

На самом деле, в чем разница-то?1. известные плагины отключают эту хрень.

Отключить перехват введеных данных в формах на веб-сайте возможно только полным, 100%, запретом JavaScript'а, что превратит большинство современных сайтов в тыкву.

2. в вебе данные банковских карт вы, обычно, не вводите на сайте со шпионскими троянами, а перекидываетесь на шлюз платёжной системы, где, перекрестясь, надеятесь .., шпионов нет...

Открыл код стартовой страницы PayPal и вижу комментарий в коде:
// Pass Google Analytics Client ID to FPTI

v1adimir

dime

13.07.18 15:23

0 0

Я лишь указал, что такова современная реальность. Хайп поднялся лишь из-за сочетания в одной новости фраз — смартфон, видео, без разрешения.

К слову, лично я делал небольшое, но donation в EFF.

v1adimir

Vingent

13.07.18 15:32

0 0

Ну, да, если это злонамеренное действие разработчика, то да. Но мы же про "аналитику" - это не так много сторонних скриптов и плагины знают как они работают.

Открыл код стартовой страницы PayPal и вижу комментарий в коде:
// Pass Google Analytics Client ID to FPTI

Воодите ли вы данные карт прямо на стартовой странице пейпалки, вот в чём вопрос? 😄

dime

v1adimir

13.07.18 16:33

0 0

Мда. Наглядное применение эффекта Даннинга-Крюгера 😄

tarkus

13.07.18 12:14

0 0

А меня недавно такая тема вырубила. У Яндекса есть раздел Яндекс.Недвижимость, где есть подробные описания всех новостроек. И там Яндекс подменяет номера телефонов застройщика на свои мобильные номера телефонов, при этом настроена переадресация на номер телефона соответствующего застройщика. При этом у фирмы Яндекс, поскольку она контролирует свои номера и переадресацию, появляется возможность собирать чужие номера абонентов и записывать их разговоры с отделом продаж. Чем я думаю они плотно заняты.

opasgruz

13.07.18 11:45

1 3

Мнээээ... серьёзно? Переадресация - не то же самое, что запись разговора.

urix

opasgruz

13.07.18 12:39

0 0

При этом у фирмы Яндекс, поскольку она контролирует свои номера и переадресацию, появляется возможность собирать чужие номера абонентов и записывать их разговоры

Какая технология позволяет при переадресации записывать разговоры?

dime

opasgruz

13.07.18 12:40

0 0

При этом у фирмы Яндекс, поскольку она контролирует свои номера и переадресацию, появляется возможность собирать чужие номера абонентов и записывать их разговорыКакая технология позволяет при переадресации записывать разговоры?

Собственно зависит от того как делается переадресация:
- можно дать команду вышестоящему коммутатору "переадресовывать все" , тогда владелец номера узнает параметры звонка только по детализации оператора.
- можно выдавать команду переадесации при входящем звонке ( тогда станция видит каждый звонок, но не знает о времени и подобном) , соотв у нас для анализа поля Calling number, Called number, Redirect number со временем.
- можно просто считать Б номер своим внутренним, и пропускать разговор через себя, как точку терминации - видим все, включая длительность звонков и при желании их запись (никого же не смущает что офисные АТС пишут при желании весь входящий трафик, даже если перевели на мобильный сотрудника)

astroff

dime

13.07.18 13:36

0 0

можно просто считать Б номер своим внутренним, и пропускать разговор через себя, как точку терминации

Тогда у целевого абонетна все входящие звонки будут с номеров из пула прослушки и он "что-то заподозрит" 😄

dime

astroff

13.07.18 13:56

0 0

можно просто считать Б номер своим внутренним, и пропускать разговор через себя, как точку терминацииТогда у целевого абонетна все входящие звонки будут с номеров из пула прослушки и он "что-то заподозрит" 😄

Зависит от того, что разрешено ставить в качестве значения вызывающего номера. Вообще есть нормативный и действующий документ Мин связи от 198X годов, который фактически запрещает передавать чужие номера, но на него почти все чихают ( что очень плохо и дает множество векторов атаки третьих лиц), так как нет санкций за нарушение. Некоторые операторы сотовой связи не принимают мобильные и "свои" городские номера как номер А с большинства стыков, но от федеральных операторов принимают все ( например MTT и Rostelecom позволяют своим SIP IP абонентам ставить что угодно в строку "вызывающий номер", главное чтобы номер был существующим). Приятности такой подмены способствует факт, что полноценный разбор качества связи возможен только со стороны абонента А ( о чем тоже есть инструкция).
Да и о подмене номеров, когда с ней пытались бороться ( простой пример Скайп, который не получал телефонной емкости в РФ и не имеет лицензии на МН/МГ связь), то на этом же ресурсе были громкие крики " как все не правы, как зажимают IP телефонию"
Ну и кроме того "заподозрит" тут не совсем верное понятие, почти уверен что эти звонки еще и оплачиваются принимающей стороной поминутно или по факту звонка.

astroff

dime

13.07.18 14:12

0 0

На своём номере можно сделать облачную АТС, передаресация - только одна из функций. И главный вопрос - как вы думаете, зачем это делает Яндекс? Явно не просто так, а с какими-то своими целями.

opasgruz

urix

15.07.18 08:14

0 0

Ответ в стиле, да мы подсматриваем за вами, без предупреждения, но делаем это ради вас! И трафик накручиваем тоже ради вас!
Да и почти не смотрим, смотрите мы же в JSON конфиге, указали что true! Это же почти код. Что вы говорите, вы говорите это не код?
И вобще сходите подучитесь!

Vingent

13.07.18 11:40

1 3

И трафик накручиваем тоже ради вас!

У вас есть ограничения трафика по Wi-Fi?

Alex Exler

Vingent

13.07.18 12:09

2 2

Прямо сейчас сижу на слабом вайфае (мопед не мой) у которого очень плохая скорость (особенно на отправку данных) и заливка видео на сторону вполне себе скажется. В домашних условиях проблемы конечно не было бы, но вайфай вайфаю рознь. Не стоит считать что по всему миру он бесплатный и безлимитный.
А товарищи похоже считают что если вайфай, значит все, победа - можно отправлять видео на выход.

Vingent

Alex Exler

13.07.18 12:18

1 3

У моих родителей например есть. Стоит Wi-Fi роутер, который раздает сеть по дому, а внешний интернет 4G. И трафик там ой какой небесплатный, нопремер

Это да, логично. Если роутер с 4G, то вопрос с трафиком очень чувствительный.

Alex Exler

Vers

13.07.18 14:44

1 1

Мне понравился верхний комментарий:

nerudo 13.07.18:
Молодцы, отлично успокоили общественность: Мы и правда записываем видео, но не парьтесь, все в порядке.

kasperyan

13.07.18 11:28

0 7

Ну да, очень информативная хабростатья. Демонстрирует как разработчики софта БК (они же мобильные разработчики для Альфа-Банка и Сбербанка) подходят к сбору, использованию и сокрытию личных/персональных данных.

RoxNW

kasperyan

13.07.18 13:02

0 0

Я бы ещё текст ниже вынес в кратко. Шикарная реакция, молодцы. Вроде и поблагодарили, и на место поставили.

Автору статьи под ником fennikami хотим выразить респект за любознательность к данным запросов/ответов. Всё же не стоит бить тревогу до того, как изучишь все возможности библиотеки или SDK.
Этому мы научим — дарим тебе бесплатное обучение в Академии e-Legion. Выбери специальность и пиши на sv@e-legion.com, чтобы получить доступ к учебной программе.

tarkus

13.07.18 11:27

1 1

Хамоватые парниши. После того как мордочкой в свою лужу потыкали как-то бы поскромнее себя вести.

Gant

tarkus

13.07.18 11:53

4 7

Кто кого потыкал? Со стороны Бургер Кинга никакого косяка нет. Этой же функцией пользуется куча приложений. Вы сами даёте согласие на её использование. Ни одного факта злонамеренного использования разрешённой вами опции со стороны БК нет. Парень что-то увидел и устроил хайп не разобравшись. Его вполне корректно потыкали мордочкой в лужу 😄

tarkus

Gant

13.07.18 12:00

8 5

Вы сами даёте согласие на её использование.

Это ложь. В пользовательском соглашении нет ни слова про запись видео. Может сейчас внесли, но до скандала точно не было.

Ни одного факта злонамеренного использования разрешённой вами опции со стороны БК нет.

Поскольку я не давал разрешения на запись видео, ВСЕ случаи его записи являются фактами злонамеренного использования. Только не со стороны БК, а со стороны так называемых разработчиков - криворуких лживых дебилов.

и устроил хайп не разобравшись.

Очевидно, "не разобравшись" - это как раз вы.

dime

tarkus

13.07.18 12:38

1 5

Ага, ага, куча невнятного текста или ссылка на на невнятные legalese. В южном парке уже было такое, про чтение и согласие, данное стиву джобсу.

AImkI

tarkus

13.07.18 13:27

0 2

Пункт 8.1, изменён не был, интернет всё помнит. Трындите дальше.

tarkus

dime

13.07.18 20:02

2 0

Пункт 8.1, изменён не был, интернет всё помнит. Трындите дальше.

там нет ни слова о записи и передаче мегабайт видеотрафика. Врите дальше.

dime

tarkus

13.07.18 22:55

0 0

А причём здесь видео и что собственно говоря это такое? Пишется захват экрана в их приложении, какие персональные данные туда попадают — указано. Законно полученный захват можно представить в видеоформате, как изображение, в аудио, в двоичном коде — как угодно. О передаче трафика вроде тоже оговорено, хотя это уже смешно: интернет-приложение передаёт трафик, как оно посмело?!

Короче, и с юридической стороны, и из практики работы как минимум мобильных приложений — ситуация абсолютно нормальная, постоянно встречающаяся, законная и вполне безопасная. Но паранойте дальше, пожалуйста 😄

tarkus

dime

14.07.18 01:39

1 0

А причём здесь видео и что собственно говоря это такое?

давайте так. Вы выкладываете в социальных под своим именем несколько видео с детским порно и потом объясняете суду, "а при чём здесь видео, что собственно говоря это такое" и, что это вообще не видео, а "прочие технические данные"

О передаче трафика вроде тоже оговорено, хотя это уже смешно

гигабайт мобильного(!) трафика за месяц? Неизвестно сколько общего трафика вообще (который вполне может оказаться мобильным для владельца). Приложения для бутербродов? Да, да, это смешно. Криворукие говнокоберы смеются над собственными пользователями.

Короче, и с юридической стороны, и из практики работы как минимум мобильных приложений — ситуация абсолютно нормальная

да, да, вы нас не забудьте проинфтрмировать как ваше враньё, что детское порно - " причём здесь видео и что собственно говоря это такое" повлияло на судью при вынесении приговора. Когда выйдете на свободу. Посмеёмся вместе.

как минимум мобильных приложений — ситуация абсолютно нормальная, постоянно встречающаяся, законная и вполне безопасная

я не знаю какое говно вы ставите себе на телефон, но запись видео без разрешения, и гигабайты трафика втихушку в моём мире это НЕ нормальная, НЕ встречающаяся и НЕ безопасная ситуация. Продожайте врать дальше.

dime

tarkus

14.07.18 11:54

0 0

Предыдущая запись Следующая запись

Поиск

e-mail Экслера - toffler@gmail.com

Теги