本日、スターバックスのiPhoneアプリに関するセキュリティ問題を提起するレポートについてお伝えしました。ある研究者は、米国で最も利用されているモバイル決済アプリが、パスワードやメールアドレスなどのユーザーデータを暗号化せずに保存していることを発見しました。
問題は、iPhoneをコンピューターに接続すれば、誰かがクラッシュログから簡単にこの情報を取得できてしまうことです。脱獄は必要ありません。そして、スターバックスがこの脆弱性を修正できる唯一の方法は、App Storeのアップデートだけです…。
当初、スターバックスはこの問題に対処するつもりはないようでした。幹部は、安全を確保するための「セキュリティ対策を既に講じている」と述べていました。しかし、数々のネガティブな報道を受けて、彼らの態度は変わったに違いありません。
以下プレスリリースです。
お客様のセキュリティは私たちにとって非常に重要です。今週、調査レポートで、お客様のiPhoneが物理的に盗難されハッキングされた場合に備え、iOS版スターバックス モバイルアプリに関連する理論上の脆弱性が特定されました。
明確に申し上げますが、今回の件によりお客様に影響が及んだり、情報が漏洩したりした兆候は一切ありません。しかしながら、当社はこうした懸念を真摯に受け止め、お客様から提供された情報を保護するために、複数の安全対策を講じております。これらの追加対策の完全性を確保するため、技術的な詳細は開示できませんが、調査報告書で提起された懸念事項に十分に対処していることを保証いたします。
万全を期すため、さらなる保護層を追加するアプリのアップデートの展開を加速させる取り組みも進めています。」
スターバックスは、アップデートはまもなく完了する予定で、今後の進捗状況についてはブログで共有する予定だと述べています。また、すべての顧客情報は保護されており、ユーザーはiOSアプリの信頼性に引き続き安心していただけることを改めて強調しました。
スターバックスのアプリに関する懸念は、昨年11月にセキュリティ研究者のダニエル・ウッド氏が、アプリが機密データをプレーンテキストファイルに保存していることを発見したことで初めて浮上した。ウッド氏は同社に何度か連絡を試みたものの、何の成果も得られなかったと述べている。
