Hlavní navigace

Aplikace QuizUp posílala data o uživatelích v čitelné podobě

Daniel Dočekal 3. 12. 2013

QuizUp se stala jednou z velmi populárních kvízových aplikací. A také přináší velké poučení o soukromí na mobilních telefonech.

Pokud jste si pořídili kvízovou aplikaci QuizUp, poskytli jste někomu své osobní údaje a informace. Aplikace je posílala v čitelné podobě přes Internet a můžete jenom hádat, k čemu je vlastně potřebovala. Mimo to ještě používala neexistující „hráče“ a umožňovala podvádění. 

Tvůrce aplikace, společnost Plain Vanilla, na zjištěné nedostatky zareagovala takřka klasicky: vše odmítla.

Ponechme stranou to, že aplikace nabízela hráčům robotické protihráče, což je jedna z častých taktik používaných nejenom v online hrách, ale také u služeb na webu (které potřebují při spuštění vykázat větší počet uživatelů). Podstatnější je zjištění, že aplikace získávala informace o hráčích, včetně údajů z Facebooku, které poté putovaly po Internetu v čitelné formě. A mohly se dostat i do rukou protihráčů.

Plan Vanilla čitelné předávání informací svádí na chybu v šifrovací knihovně a také tvrdí, že se přenášené informace neukládají a že aplikace používá jen e-mailovou adresu (aby pomocí ní mohla najít přátele).

Prohlášení týkající se přenosu informací v čitelné (plain text) podobě je přitom hodně paradoxní: Plain Vanilla nejprve tvrdí, že je to lež, aby firma vzápětí napsala, že chybou v šifrovací knihovně bylo šifrování „oslabeno“, samozřejmě pouze za velmi „vzácných podmínek“.

The main concern raised in the post is that QuizUp sends data in plain text. This is inaccurate. No data is sent to or received from our servers in plain text. Traffic between a QuizUp user and our servers is encrypted using industry standard SSL encryption. However, due to a vulnerability in our third-party network library, this encryption was weakened in a few rare instances. 

Při poskytování osobních informací o vás dalším hráčům tak podle firmy vlastně nakonec také šlo o „chybu serveru“. A prý navíc bylo nutné mít vybavení schopné dešifrování (což, jak už víme, nejspíš potřeba nebylo, protože tam byla další „chyba“).

Next, there was a server error which could have given players access to some other players’ profile data IF they had set up the correct equipment in order to decrypt the communication. This issue has been fixed, and we are not aware of any user data being accessed in this way.

Plain Vanilla také tvrdí, že kontaktní informace neukládá, ale jak se v odpovědi můžete dočíst, doplní hashování přenášených adresních informací, takže i zde je nepřímo možné pochopit, že kompletní e-maily vašich kontaktů putovaly volně Internetem.

Finally, address book information is not stored on our servers. We only use contact information temporarily to help us find your friends. We are changing the client application so it hashes the address book content before sending it to our servers.

Více než zábavné reakce nabízí firma také na otázku o použití umělých hráčů týče. Nejprve se tvůrci aplikace odpovědi vyhýbali, aby pak přiznali, že tuto techniku používají. A ve své odpovědi opět situaci zlehčují.

Matchmaking is a hard technical problem, particularly with 280 quiz categories and more than 1 million players across the world playing every minute of every day. We've chosen to maximize for gameplay experience and consistency. In QuizUp you are playing a human in real time in almost every game. In the off chance we cannot find an opponent (which is becoming very rare due to our popularity) you may be pitted against a bot as a fallback strategy. I’m happy to share that the ratio of ghost games to real ones is getting very small! Hopefully we will be able to phase them out completely in the near future.

Rozumějte tomu správně, v QuizUp hrajete proti člověku reálnému často „skoro v každé hře“, ale když aplikace nemůže najít protivníka, předhodí vám robota.

Na dění okolo mizerné práce týmu programátorů Plain Vanilla je zábavné i to, že nedostatky aplikace odhalila konkurence. Ta se s pomocí sledovače síťové komunikace nejspíš chtěla podívat trochu více „dovnitř“ QuizUp a zjistila, že osobní údaje a informace uživatelů pobíhají po síti. Což sice celý objev malinko diskredituje, ale ve finále se nic nemění na tom, že v Plain Vanilla při programování zjevně moc na bezpečnost nemyslí.

WT100

Ještě lepší poučení si můžeme vzít z komunikace Plain Vanilla. Dochází zde ke klasické snaze zlehčovat, popírat, manipulovat, odvádět pozornost. Přitom by bylo daleko jednodušší prostě uznat chybu, napravit ji a pokračovat s čistým štítem.

Zdroj: Social trivia app QuizUp accused of sending user data in plain text and deceiving players

Našli jste v článku chybu?
Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Lupa.cz: Aukro.cz mění majitele. Vrací se do českých rukou

Aukro.cz mění majitele. Vrací se do českých rukou

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

DigiZone.cz: Nejnovější špičkové TV ve videu

Nejnovější špičkové TV ve videu

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Vitalia.cz: 7 příčin neplodnosti u žen: pravda a mýty

7 příčin neplodnosti u žen: pravda a mýty

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Podnikatel.cz: EET pro e-shopy? Postavené na hlavu

EET pro e-shopy? Postavené na hlavu

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Root.cz: Prvních 700 routerů Omnia je hotových

Prvních 700 routerů Omnia je hotových

Podnikatel.cz: Babišovy firmy a registr smluv. Co odhalil?

Babišovy firmy a registr smluv. Co odhalil?

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Podnikatel.cz: Poslanci chtějí sebrat majetek Bakalovi

Poslanci chtějí sebrat majetek Bakalovi