Koffieketen Starbucks heeft een nieuwe versie van de Starbucks app voor de iPhone en iPad uitgebracht nadat een onderzoeker een lek had ontdekt. De kwetsbaarheid zorgde ervoor dat onder andere het wachtwoord van gebruikers onversleuteld in een bestand op het toestel werd opgeslagen.

In tegenstelling tot eerdere berichten was het daarbij niet nodig dat de app crashte. Een aanvaller die het bestand zou kunnen benaderen kon daarmee toegang tot het Starbucks-account van de gebruiker krijgen. Via de app kunnen gebruikers hun Starbuckskaart aan de smartphone koppelen, tegoeden via PayPal of creditcard opladen en via de app in Starbuckswinkels over de hele wereld betalen.

Probleem

Beveiligingsonderzoeker Daniel Wood had het probleem vorig jaar ontdekt en in december aan de koffieketen gemeld, maar niets gehoord. Daarop besloot hij deze week zijn bevindingen op de Full-disclosure mailinglist te publiceren. Starbucks liet weten dat het om een theoretisch probleem ging, maar heeft nu wel een update voor de iOS-versie van de app uitgebracht. Het probleem speelde niet bij de Androidversie.

Sinds zijn publicatie op de Full-disclosure mailinglist heeft Wood nauw samengewerkt met Starbucks en verklaart dat het lek in de nieuwe versie verholpen is. Toch is er nog één ding dat Starbucks nog kan verbeteren en dat is de opslag van de geolocatiegegevens. De app bewaart namelijk de laatste locatie waar de gebruiker het toestel heeft gebruikt onversleuteld in een bestand. Volgens Wood geen beveiligingsprobleem maar wel iets dat Starbucks via een toekomstige update zou moeten oplossen.