セキュリティ研究者ダニエル・ウッド氏の報告を受け、スターバックスの幹部は今週、同社のモバイルアプリがユーザー名とパスワードを暗号化せずに平文で保存していることを認めた。また、安全対策を講じていない位置情報データも記録している。
ウッド氏によると、この問題は、iPhoneをコンピューターに接続すれば、誰かがクラッシュログから簡単にこの情報を取得できることだ。脱獄や特別なハードウェアは必要ない。さらに悪いことに、スターバックスはこの問題の解決に何の対策も講じていないのだ…
Computerworld のレポートは以下のとおりです (The Verge 経由)。
米国で最も利用されているモバイル決済アプリであるスターバックスのモバイルアプリが、ユーザー名、メールアドレス、パスワードを平文で保存していたことを、スターバックスの幹部が1月14日(火)遅くに確認した。認証情報は、スマートフォンにアクセスできる人なら誰でも、スマートフォンをPCに接続することでパスワードとユーザー名を確認できるような方法で保存されていた。スマートフォンのジェイルブレイク(脱獄)は不要だ。また、この平文には位置情報追跡ポイント(緯度、経度)の詳細なリストも表示されており、スマートフォンを盗んだ者にとってセキュリティとプライバシーを脅かす情報の宝庫となる。
繰り返しになりますが、潜在的な犯罪者が情報を入手するには、依然としてあなたのスマートフォンを手に持つ必要があり、入手できる情報はユーザー名、パスワード、位置情報のみです。しかし、アプリの「自動チャージ」機能が有効になっている場合、窃盗犯は簡単に課金を繰り返す可能性があります。
スターバックスは、この問題に関して「現在セキュリティ対策を講じている」と報道陣に語った。しかしウッド氏は、脆弱性はアプリ自体に存在し、アップデートされていないため、スターバックス側で何をしても問題にはならないと述べている。
ウッド氏は、カリフォルニア州のサブウェイ注文アプリでも同様の問題を発見したと述べた。ただし、住所やクレジットカード情報がすべて平文で保存されているため、はるかに危険度が高い。