AppleInsiderスタッフ
· 1分で読めます
スターバックスは金曜日、iOS決済アプリがユーザーのログイン情報を暗号化していないことが発覚した後の批判に迅速に対応し、顧客のための追加「安全策」を約束する新たなアップデートをリリースした。
スターバックスのバージョン2.6.2が、今週注目を集めたセキュリティ問題に完全に対処しているかどうかは不明です。しかし、同コーヒーチェーンのCIOは木曜日、「近日中に」アップデートを実施し、ユーザー名とパスワードがプレーンテキストで保存されなくなることを約束しました。
金曜日のアップデートのリリースノートには、最新バージョンには「追加のパフォーマンス強化と安全対策」が含まれているとだけ記載されている。
セキュリティ研究者のダニエル・ウッド氏がこの脆弱性を公表して以来、スターバックスは攻撃を受けています。この脆弱性を悪用するには、攻撃者がデバイスに物理的にアクセスする必要があります。ウッド氏は昨年11月にスターバックスに連絡を取り、この脆弱性を報告したと報じられていますが、同社が問題を修正できなかったため、公表を決意したとのことです。
このアプリは、Twitter傘下のクラッシュレポート分析会社Crashlyticsのログファイルに依存しています。このログファイルは、たとえPINロックがかかっていても、誰かがiPhoneに物理的にアクセスすれば、ユーザーの端末から取得できると報じられています。また、ログファイルには、ユーザーのユーザー名、メールアドレス、パスワードの暗号化されていないバージョンが含まれていると言われています。
