Hlavní navigace

Aplikace QuizUp posílala data o uživatelích v čitelné podobě

Daniel Dočekal

QuizUp se stala jednou z velmi populárních kvízových aplikací. A také přináší velké poučení o soukromí na mobilních telefonech.

Pokud jste si pořídili kvízovou aplikaci QuizUp, poskytli jste někomu své osobní údaje a informace. Aplikace je posílala v čitelné podobě přes Internet a můžete jenom hádat, k čemu je vlastně potřebovala. Mimo to ještě používala neexistující „hráče“ a umožňovala podvádění. 

Tvůrce aplikace, společnost Plain Vanilla, na zjištěné nedostatky zareagovala takřka klasicky: vše odmítla.

Ponechme stranou to, že aplikace nabízela hráčům robotické protihráče, což je jedna z častých taktik používaných nejenom v online hrách, ale také u služeb na webu (které potřebují při spuštění vykázat větší počet uživatelů). Podstatnější je zjištění, že aplikace získávala informace o hráčích, včetně údajů z Facebooku, které poté putovaly po Internetu v čitelné formě. A mohly se dostat i do rukou protihráčů.

Plan Vanilla čitelné předávání informací svádí na chybu v šifrovací knihovně a také tvrdí, že se přenášené informace neukládají a že aplikace používá jen e-mailovou adresu (aby pomocí ní mohla najít přátele).

Prohlášení týkající se přenosu informací v čitelné (plain text) podobě je přitom hodně paradoxní: Plain Vanilla nejprve tvrdí, že je to lež, aby firma vzápětí napsala, že chybou v šifrovací knihovně bylo šifrování „oslabeno“, samozřejmě pouze za velmi „vzácných podmínek“.

The main concern raised in the post is that QuizUp sends data in plain text. This is inaccurate. No data is sent to or received from our servers in plain text. Traffic between a QuizUp user and our servers is encrypted using industry standard SSL encryption. However, due to a vulnerability in our third-party network library, this encryption was weakened in a few rare instances. 

Při poskytování osobních informací o vás dalším hráčům tak podle firmy vlastně nakonec také šlo o „chybu serveru“. A prý navíc bylo nutné mít vybavení schopné dešifrování (což, jak už víme, nejspíš potřeba nebylo, protože tam byla další „chyba“).

Next, there was a server error which could have given players access to some other players’ profile data IF they had set up the correct equipment in order to decrypt the communication. This issue has been fixed, and we are not aware of any user data being accessed in this way.

Plain Vanilla také tvrdí, že kontaktní informace neukládá, ale jak se v odpovědi můžete dočíst, doplní hashování přenášených adresních informací, takže i zde je nepřímo možné pochopit, že kompletní e-maily vašich kontaktů putovaly volně Internetem.

Finally, address book information is not stored on our servers. We only use contact information temporarily to help us find your friends. We are changing the client application so it hashes the address book content before sending it to our servers.

Více než zábavné reakce nabízí firma také na otázku o použití umělých hráčů týče. Nejprve se tvůrci aplikace odpovědi vyhýbali, aby pak přiznali, že tuto techniku používají. A ve své odpovědi opět situaci zlehčují.

Matchmaking is a hard technical problem, particularly with 280 quiz categories and more than 1 million players across the world playing every minute of every day. We've chosen to maximize for gameplay experience and consistency. In QuizUp you are playing a human in real time in almost every game. In the off chance we cannot find an opponent (which is becoming very rare due to our popularity) you may be pitted against a bot as a fallback strategy. I’m happy to share that the ratio of ghost games to real ones is getting very small! Hopefully we will be able to phase them out completely in the near future.

Rozumějte tomu správně, v QuizUp hrajete proti člověku reálnému často „skoro v každé hře“, ale když aplikace nemůže najít protivníka, předhodí vám robota.

Na dění okolo mizerné práce týmu programátorů Plain Vanilla je zábavné i to, že nedostatky aplikace odhalila konkurence. Ta se s pomocí sledovače síťové komunikace nejspíš chtěla podívat trochu více „dovnitř“ QuizUp a zjistila, že osobní údaje a informace uživatelů pobíhají po síti. Což sice celý objev malinko diskredituje, ale ve finále se nic nemění na tom, že v Plain Vanilla při programování zjevně moc na bezpečnost nemyslí.

Ještě lepší poučení si můžeme vzít z komunikace Plain Vanilla. Dochází zde ke klasické snaze zlehčovat, popírat, manipulovat, odvádět pozornost. Přitom by bylo daleko jednodušší prostě uznat chybu, napravit ji a pokračovat s čistým štítem.

Zdroj: Social trivia app QuizUp accused of sending user data in plain text and deceiving players

Našli jste v článku chybu?

6. 12. 2013 22:08

Loko (neregistrovaný)

aspoň si člověk může jednoduše ověřit co za údaje sbírají:-)

Vitalia.cz: Bižuterie tisícinásobně překračuje povolené limity

Bižuterie tisícinásobně překračuje povolené limity

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Podnikatel.cz: Daňové úlevy s EET nestačí. Budou zdražovat

Daňové úlevy s EET nestačí. Budou zdražovat

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Vitalia.cz: Analýza letáků: Na co lákají do prodejen?

Analýza letáků: Na co lákají do prodejen?

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D