In der letzten Woche gab es einige Berichte, dass die iOS-App von Starbucks private Informationen der Anwender weitergeben könnte. Dennoch muss man das Unternehmen loben – vor allem, wenn man bedenkt, dass es sich hier nicht um eine Technologiefirma handelt. Denn Starbucks hat schnell reagiert und bereits ein Update für die App veröffentlicht.
Klar, Starbucks hat natürlich die entsprechenden Mittel dazu, doch die Sicherheitslücke wurde Ende Dezember entdeckt und gleich im Januar geschlossen – für Sicherheitsupdates ist das sehr respektabel. Die Entdeckung von Sicherheitslücken und deren schlussendliches Schließen geht oft einher mit Dementis des betroffenen Unternehmens, Spitzfindigkeiten und monatelangem Hin-und-Her bis das Problem gelöst ist.
Ich erspare Ihnen die schrecklichsten technischen Details, doch die Sicherheitslücke existierte bis 16. Januar in der aktuellsten Version der App: Version 2.6.1 für iOS. Wie gesagt, hat das Unternehmen die Sicherheitslücke mit der Veröffentlichung der Version 2.6.2 geschlossen. Diese neue Version finden Sie nun im App Store von Apple.
Ohne das Update besteht das Risiko, dass Ihre privaten und vertraulichen Daten ohne Ihr Wissen abgegriffen werden können, inklusive Ihrem vollen Namen, Ihrer Adresse, der Gerätenummer Ihres Mobiltelefons, sowie verschiedener Ortungsdaten. Dies wird in einem Threatpost-Artikel von Chris Brook berichtet. Die App des Kaffeegiganten speicherte all das als Teil einer Software zum Verhindern von Abstürzen in einer Log-Datei als nicht-verschlüsselten Klartext. Diese Software wurde von der Bostoner Firma Crashlytics entwickelt.
Daniel Wood, der Forscher, der den Fehler gefunden hat und Mitglied des Open Web Application Security Project (OWASP) ist, führte die Sicherheitslücke auf das Versagen von Starbucks beim Befolgen üblicher Vorgehensweisen bei der App-Sicherheit zurück. Wood sagte dazu, Starbucks sollte die Daten vor dem Weitergeben filtern und säubern, „um zu verhindern, dass diese Daten in den Log-Dateien von Crashlytics als Klartext gespeichert werden, wenn sie überhaupt gespeichert werden müssen.“
Crashlytics entwickelt Absturzberichtslösungen für Hersteller mobiler Apps. Starbucks hat anscheinend die Technologie dieser Firma in seiner eigenen App verwendet, aber vielleicht – zumindest zum Teil – nicht richtig implementiert. Wayne Chang, Mitgründer von Crashlytics, sagte zu Chris Brook von Threatpost, dass das Problem eine der Klartext-Logging-Funktionen des Service betreffe. Er sagte weiter, dass Crashlytics keine Nutzernamen und Passwörter automatisch sammele. Die Funktion CLSLog sei eine „optionale Funktion, die Entwickler nutzen können, um zusätzliche Informationen aufzuzeichnen.“
Nur falls es Sie interessiert: Die Starbucks-App gibt Kunden die Möglichkeit, ihre Starbucks-Karte mit ihrem Smartphone zu verknüpfen, ihr Konto per Paypal oder Kreditkarte aufzufüllen und weltweit in Starbucks-Läden mit dem Smartphone mobil zu bezahlen.
Also: Wenn Sie die App von Starbucks auf Ihrem iPhone, iPad oder einem anderen iGerät nutzen, sollten Sie so schnell wie möglich im App Store vorbeischauen und das Update herunterladen.