Un reporte dio a conocer esta semana que la aplicación de Starbucks para dispositivos móviles iOS podría estar exponiendo la información personal de quienes la descargaron. No obstante, es necesario reconocer que la compañía –a pesar de no ser una empresa dedicada a la tecnología- publicó ayer una actualización que resolvía esta vulnerabilidad en su aplicación.
Por supuesto que Starbucks no es una empresa que sufra de escasez de dinero, pero esta vulnerabilidad fue reportada a mediados de Diciembre y se le dio una solución en Enero, lo cual es muy respetable en los tiempos de la seguridad informática. Generalmente la divulgación de las vulnerabilidades y su debida resolución implican negación de los proveedores, mucha convulsión y meses sin que nada se solucione. Por esta razón: si has descargado la aplicación móvil de Starbucks en tu iPhone, iPad u otro iDevice, dirígete a la App Store e instala la actualización lo más pronto posible.
Según el reporte, esta vulnerabilidad estuvo presente en la versión 2.6.1 de la aplicación. Pero, como he dicho anteriormente, la compañía liberó ayer la versión 2.6.2, que soluciona este problema y se puede encontrar en la App Store de Apple.
Según el reporte de Threatpost escrito por Chris Brook, cualquier persona que no haya realizado la actualización correspondiente, podría estar exponiendo sus datos personales confidenciales: su nombre completo, su dirección, el ID de su dispositivo e, incluso, información sobre su localización geográfica.
La aplicación de la gigante del café almacenaba toda esta información en un archivo de registro no encriptado, desarrollado por una compañía de Boston llamada Crashlytics.
El bug de la aplicación fue descubierto por el investigador Daniel Wood, miembro de Open Web Application Security Project (OWASP). Wood sostuvo que la vulnerabilidad fue resultado de una falla de Starbucks en la utilización de mejores prácticas de seguridad para sus aplicaciones.
Wood afirmó que Starbucks debería filtrar y desinfectar los datos sobre sus aplicaciones “para prevenir que estos datos sean almacenados en un archivo de registro de Crashlytics sin encriptar”. Crashlytics desarrolla reportes de soluciones de accidentes para creadores de aplicaciones. Al parecer, Starbucks utilizó la tecnología de esta compañía en la creación de su aplicación, pero la implementó de forma incorrecta.
El co-fundador de Crashlytics, Wayne Chang, explicó que el problema se relaciona con uno de los servicios del archivo de registro. Chang aclaró que Crashlytics no recolecta los nombres de usuario ni las contraseñas automáticamente. “el servicio del archivo de registro de Crashlytics es un servicio opcional que se utiliza para que los desarrolladores pueden registrar información adicional”
La aplicación de Starbucks les brinda a todos los usuarios la posibilidad de conectar sus tarjetas de crédito o su cuenta de PayPal con Starbucks a través de sus Smartphones. De esta manera, los clientes pueden usar sus dispositivos móviles para pagar lo que consuman en cualquier local Starbucks del mundo.
Traducido por: Guillermo Vidal Quinteiro