Comment compromettre l'application Starbucks en 90 secondes

Nous en avions parlé en 2008, 2009 et 2010, l'application Starbucks pour iPhone permet de passer une commande "on the go" afin d'éviter de faire la queue et payer directement en caisse en scannant un QR Code généré à la volée.

L'application peut cependant facilement être détournée à l'insu d'un client. C'est le constat qu'a pu faire Kelley Langford, vice président des ventes et du marketing de la société américaine System Innovators, interviewé par Rimma Kats.
Le détournement de l'application est assez simple et consiste à passer commande à partir du compte de quelqu'un d'autre en s'envoyant l'image du QR Code généré. Comme il n'y a aucune sécurité entre le QR Code généré et l'iPhone du client, le QR Code en question peut être utilisé par n'importe qui, voire même être diffusé à grande échelle sur le réseau. Le détail est ici.
Kelley Langford explique également que les dispositifs de communication sans fil, que ce soit par reconnaissance optique ou radio (NFC) n'ont pas encore intégré une politique de sécurité suffisante puisque ce genre de fraude est à la portée de n'importe quel utilisateur d'iPhone qui sait faire une capture d'écran et s'envoyer un mail.