Pokud jste si pořídili kvízovou aplikaci QuizUp, poskytli jste někomu své osobní údaje a informace. Aplikace je posílala v čitelné podobě přes Internet a můžete jenom hádat, k čemu je vlastně potřebovala. Mimo to ještě používala neexistující "hráče" a umožňovala podvádění.
Tvůrce aplikace, společnost Plain Vanilla, na zjištěné nedostatky zareagovala takřka klasicky: vše odmítla.
Ponechme stranou to, že aplikace nabízela hráčům robotické protihráče, což je jedna z častých taktik používaných nejenom v online hrách, ale také u služeb na webu (které potřebují při spuštění vykázat větší počet uživatelů). Podstatnější je zjištění, že aplikace získávala informace o hráčích, včetně údajů z Facebooku, které poté putovaly po Internetu v čitelné formě. A mohly se dostat i do rukou protihráčů.
Plan Vanilla čitelné předávání informací svádí na chybu v šifrovací knihovně a také tvrdí, že se přenášené informace neukládají a že aplikace používá jen e-mailovou adresu (aby pomocí ní mohla najít přátele).
Prohlášení týkající se přenosu informací v čitelné (plain text) podobě je přitom hodně paradoxní: Plain Vanilla nejprve tvrdí, že je to lež, aby firma vzápětí napsala, že chybou v šifrovací knihovně bylo šifrování "oslabeno", samozřejmě pouze za velmi "vzácných podmínek".
The main concern raised in the post is that QuizUp sends data in plain text. This is inaccurate. No data is sent to or received from our servers in plain text. Traffic between a QuizUp user and our servers is encrypted using industry standard SSL encryption. However, due to a vulnerability in our third-party network library, this encryption was weakened in a few rare instances.
Při poskytování osobních informací o vás dalším hráčům tak podle firmy vlastně nakonec také šlo o "chybu serveru". A prý navíc bylo nutné mít vybavení schopné dešifrování (což, jak už víme, nejspíš potřeba nebylo, protože tam byla další "chyba").
Next, there was a server error which could have given players access to some other players’ profile data IF they had set up the correct equipment in order to decrypt the communication. This issue has been fixed, and we are not aware of any user data being accessed in this way.
Plain Vanilla také tvrdí, že kontaktní informace neukládá, ale jak se v odpovědi můžete dočíst, doplní hashování přenášených adresních informací, takže i zde je nepřímo možné pochopit, že kompletní e-maily vašich kontaktů putovaly volně Internetem.
Finally, address book information is not stored on our servers. We only use contact information temporarily to help us find your friends. We are changing the client application so it hashes the address book content before sending it to our servers.
Více než zábavné reakce nabízí firma také na otázku o použití umělých hráčů týče. Nejprve se tvůrci aplikace odpovědi vyhýbali, aby pak přiznali, že tuto techniku používají. A ve své odpovědi opět situaci zlehčují.
Matchmaking is a hard technical problem, particularly with 280 quiz categories and more than 1 million players across the world playing every minute of every day. We've chosen to maximize for gameplay experience and consistency. In QuizUp you are playing a human in real time in almost every game. In the off chance we cannot find an opponent (which is becoming very rare due to our popularity) you may be pitted against a bot as a fallback strategy. I’m happy to share that the ratio of ghost games to real ones is getting very small! Hopefully we will be able to phase them out completely in the near future.
Rozumějte tomu správně, v QuizUp hrajete proti člověku reálnému často "skoro v každé hře", ale když aplikace nemůže najít protivníka, předhodí vám robota.
Na dění okolo mizerné práce týmu programátorů Plain Vanilla je zábavné i to, že nedostatky aplikace odhalila konkurence. Ta se s pomocí sledovače síťové komunikace nejspíš chtěla podívat trochu více "dovnitř" QuizUp a zjistila, že osobní údaje a informace uživatelů pobíhají po síti. Což sice celý objev malinko diskredituje, ale ve finále se nic nemění na tom, že v Plain Vanilla při programování zjevně moc na bezpečnost nemyslí.
Ještě lepší poučení si můžeme vzít z komunikace Plain Vanilla. Dochází zde ke klasické snaze zlehčovat, popírat, manipulovat, odvádět pozornost. Přitom by bylo daleko jednodušší prostě uznat chybu, napravit ji a pokračovat s čistým štítem.
Zdroj: Social trivia app QuizUp accused of sending user data in plain text and deceiving players
ČLÁNKY DO MAILU