{"id":2377,"date":"2014-01-20T11:00:50","date_gmt":"2014-01-20T11:00:50","guid":{"rendered":"http:\/\/kasperskydaily.com\/italy\/?p=2377"},"modified":"2020-02-26T17:21:16","modified_gmt":"2020-02-26T15:21:16","slug":"starbucks-ripara-velocemente-il-bug-della-propria-app","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/starbucks-ripara-velocemente-il-bug-della-propria-app\/2377\/","title":{"rendered":"Starbucks ripara velocemente il bug della propria app"},"content":{"rendered":"<p>Da alcuni <a href=\"https:\/\/threatpost.com\/starbucks-app-stores-user-information-passwords-in-clear-text\/103649\" target=\"_blank\" rel=\"noopener nofollow\">report<\/a> pubblicati all\u2019inizio di questa settimana \u00e8 emerso che l\u2019app mobile iOS di Starbucks potrebbe mettere in pericolo i dati personali dei clienti che la scaricano. Starbucks, da parte sua (considerando che non \u00e8 un\u2019azienda IT), ha distribuito nella tarda giornata di ieri un aggiornamento in grado di risolvere la vulnerabilit\u00e0.<\/p>\n<p>Naturalmente, al colosso americano del caff\u00e8 non mancano certamente le risorse economiche; tuttavia, a onor del merito, bisogna dire che la vulnerabilit\u00e0 \u00e8 stata resa nota a dicembre e risolta a gennaio, il che \u00e8 un buon segno viste le normali tempistiche in questi casi. Tra la scoperta di una vulnerabilit\u00e0 e la sua soluzione, vi \u00e8 tutta una fase intermedia che prevede smentite da parte delle case produttrici, tentativi di \u201ccercare il pelo nell\u2019uovo\u201d e complicazioni di ogni sorta. In definitiva, ci vogliono mesi e mesi prima di porre fine al problema.<\/p>\n<p>Dunque la prima cosa da fare \u00e8, se avete scaricato l\u2019app mobile di Starbucks sul vostro iPhone, iPad o qualsiasi altro iDispositivo, entrare subito nell\u2019<a href=\"https:\/\/www.kaspersky.it\/blog\/app-ingannevoli-sullapp-store-di-apple\/\" target=\"_blank\" rel=\"noopener\">App Store<\/a> e installare gli aggiornamenti il prima possibile.<\/p>\n<div class=\"pullquote\">Bisogna dire che la vulnerabilit\u00e0 \u00e8 stata resa nota a dicembre e risolta a gennaio, il che \u00e8 un buon segno viste le normali tempistiche in questi casi.<\/div>\n<p>Vi risparmier\u00f2 la maggior parte dei dettagli tecnici, ma la vulnerabilit\u00e0 riguardava la versione pi\u00f9 recente (fino al 16 gennaio) dell\u2019applicazione, la 2.6.1 per iOS. Come ho gi\u00e0 fatto presente, l\u2019azienda ha risolto la vulnerabilit\u00e0 rilasciando la versione 2.6.2 che, ripeto, pu\u00f2 essere scaricata nell\u2019App Store di <a href=\"https:\/\/www.kaspersky.it\/blog\/apple-non-e-piu-immune-alle-minacce-esterne\/\" target=\"_blank\" rel=\"noopener\">Apple<\/a>.<\/p>\n<p>Secondo un report pubblicato da Chris Brook su Threatpost, gli utenti che non hanno installato gli aggiornamenti potrebbero potenzialmente mettere in pericolo tutta una serie di informazioni sensibili, quali nome\/cognome, indirizzo, ID del dispositivo e dati di geolocalizzazione.<\/p>\n<p>L\u2019app di Starbucks immagazzinava tutte queste informazioni in plain text, e non in formato <a href=\"https:\/\/www.kaspersky.it\/blog\/chi-usa-la-crittografia-e-chi-no\/\" target=\"_blank\" rel=\"noopener\">criptato<\/a>, in un file log incluso in una soluzione esterna poco sicura, sviluppata da un\u2019azienda di Boston chiamata Crashlytics.<\/p>\n<p>Daniel Wood, il ricercatore che ha scoperto il bug, nonch\u00e9 membro di OWASP (Open Web Application Security Project), ha incolpato Starbucks di non aver seguito le <i>best-practices<\/i> consigliate per la sicurezza delle applicazioni.<\/p>\n<p>In particolare, Wood ha affermato che Starbucks avrebbe dovuto filtrare e disinfettare i dati in uscita \u201cper prevenire che questi fossero immagazzinati nei file log di Crashlytics in plain text\u201d.<\/p>\n<p>Crashlytics sviluppa soluzioni di crash reporting per creatori di app mobile. Starbucks sembra aver usato la tecnologia di questa azienda nella propria applicazione, ma pare che non sia stata implementata nella maniera corretta, o solo parzialmente.<\/p>\n<p>Wayne Chang, co-fondatore di Crashlytics, ha detto a Chris Brook di Threatpost via mail che la questione sembra coinvolgere una delle funzionalit\u00e0 di logging in plain text appartenente al servizio. Chang ha continuato affermando che Crashlytics non raccoglieva username o password in forma automatica. La funzionalit\u00e0 CLSLog \u00e8 una \u201cfunzionalit\u00e0 opzionale che gli sviluppatori possono scegliere di usare per loggare informazioni aggiuntive\u201d.<\/p>\n<p>Se siete curiosi, l\u2019app di Starbucks d\u00e0 ai clienti la possibilit\u00e0 di collegare la propria card Starbucks allo smartphone, ricaricare via Paypal o carta di credito, permettendo di usare il proprio smartphone come meccanismo di <a href=\"https:\/\/www.kaspersky.it\/blog\/il-futuro-del-mobile-payment-e-lavvento-del-content-driven-commerce\/\" target=\"_blank\" rel=\"noopener\">pagamento mobile<\/a> presso gli Starbucks di tutto il mondo.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Da alcuni report pubblicati all\u2019inizio di questa settimana \u00e8 emerso che l\u2019app mobile iOS di Starbucks potrebbe mettere in pericolo i dati personali dei clienti che la scaricano. Starbucks, da parte sua (considerando che non \u00e8 un\u2019azienda IT), ha distribuito nella tarda giornata di ieri un aggiornamento in grado di risolvere la vulnerabilit\u00e0.<\/p>\n","protected":false},"author":42,"featured_media":2378,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[12],"tags":[202,622,889,584],"class_list":{"0":"post-2377","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-app","9":"tag-bug","10":"tag-starbucks","11":"tag-vulnerabilita"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/starbucks-ripara-velocemente-il-bug-della-propria-app\/2377\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/app\/","name":"app"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/2377","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=2377"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/2377\/revisions"}],"predecessor-version":[{"id":20340,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/2377\/revisions\/20340"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/2378"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=2377"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=2377"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=2377"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}