Starbucks、モバイルアプリのぜい弱性を速やかに修正

2014年1月23日

先日、StarbucksのiOSモバイルアプリをダウンロードした顧客の個人情報が、アプリから漏えいする恐れがあると報じられました。Starbucksの名誉のために(特に同社がIT企業でないことを考慮して)断っておくと、同社は1月17日、アプリのぜい弱性を修正する更新をリリースしています。

starbucks

もちろん、Starbucksは決して資金難にあえぐ企業ではありませんが、このぜい弱性は12月のある時点で報告され、1月に修正されました。セキュリティ修正という点に関しては、迅速な対応であると言えます。ぜい弱性の発見と修正に関しては多くの場合、ベンダー側が否定し、重箱の隅をつつくような議論が始まり、他者を巻き込むといったことが起こり、解決までに何か月もかかることもあるからです。

したがって、何よりもまず、iPhoneやiPadなどのiOSデバイスにStarbucksのモバイルアプリをダウンロードした人は、できるだけ早くApp Storeにアクセスして更新をインストールする必要があります。

難解な技術については詳しく説明しませんが、このぜい弱性は同アプリの1月16日時点の最新ビルド、iOS向けバージョン2.6.1に存在していました。先述のとおり、同社はその後バージョン2.6.2をリリースして、このぜい弱性を修正しています。繰り返しますが、更新はAppleのApp Storeでダウンロードできます。

このぜい弱性は12月のある時点で報告され、1月に修正されました。セキュリティ修正という点に関しては、迅速な対応であると言えます

Threatpostのクリス・ブルック(Chris Brook)のレポートによると、この更新を適用していないと、氏名、住所、デバイスIDといったさまざまな重要情報のほか、各種位置情報データも流出してしまう恐れがあります。

コーヒーチェーン大手Starbucksのアプリでは、こうした情報がすべて平文でログファイルに保存されており、暗号化されていませんでした。このログファイルは他社製で、Crashlyticsというボストンの企業が開発したクラッシュ保護ソリューションの一部です。

このバグを発見した研究者で、Open Web Application Security Project(OWASP)のメンバーであるダニエル・ウッド(Daniel Wood)氏は、このぜい弱性は基本的に、Starbucksがアプリのセキュリティに関するベストプラクティスに従わなかったことが原因だとしています。

特にウッド氏は、出力の際にデータを選別して不適切な部分を削除し、「これらのデータ要素がCrashlyticsのログファイルに保存されないようにする必要があり、保存するとしても平文は避けるべき」と述べています。

Crashlyticsはモバイルアプリメーカー向けにクラッシュレポートのソリューションを開発しています。Starbucksはアプリにこの企業の技術を使用したようですが、少なくとも部分的に、適切に実装できなかったのかもしれません。

Crashlyticsの共同創業者ウェイン・チャン(Wayne Chang)氏は、Threatpostのクリス・ブルック宛のメールで、今回の問題は同サービスの平文のログ機能の1つに関係があるようだと述べています。さらにチャン氏はThreatpostに対し、Crashlyticsがユーザー名やパスワードを自動的に収集することはないと述べました。このCLSLogという機能は、「開発者が追加情報の記録に使用するためのオプション機能」だとしています。

Starbucksアプリに興味がある人のために説明しておくと、このアプリでは、Starbucksカードとスマートフォンを接続して、PayPalやクレジットカードからお金をチャージでき、世界のStarbucks店舗でスマートフォンをモバイル決済手段として使用することができます。