QuizUp og Plain Vanilla

Allt utan efnis
Skjámynd

Höfundur
intenz
Besserwisser
Póstar: 3337
Skráði sig: Mið 08. Okt 2008 22:07
Reputation: 35
Staðsetning: /dev/null
Staða: Ótengdur

QuizUp og Plain Vanilla

Pósturaf intenz » Mán 25. Nóv 2013 22:20



i7 920 @ 2.8 GHz | Gigabyte EX58-UD3R | CSX 3x2 GB DDR3 @ 1600 MHz | Gigabyte ATi Radeon HD 5850 | Sileo 500 | RealPower 600W | Corsair Force 3 120 GB | 27" FullHD | W7 x64

Skjámynd

appel
Stjórnandi
Póstar: 5592
Skráði sig: Fös 13. Jún 2003 16:46
Reputation: 1053
Staða: Ótengdur

Re: QuizUp og Plain Vanilla

Pósturaf appel » Mán 25. Nóv 2013 22:32

Vúúúú...

Kannski ekki eitthvað NSA-samsæri, en vissulega alvarlegur feill hjá þeim sem bjuggu til appið.

Nú er þetta væntanlega smíðað á Íslandi, er "íslenskt app", eru þá ekki íslensk persónuverndaryfirvöld sem hafa eitthvað með þetta að segja? Eða eru þau of upptekin að ráðast á ja.is?


Ef ég væri PlainVanilla þá hefði ég miklar áhyggjur af því að Apple fjarlægi appið úr versluninni, þeir eru alveg vísir til þess alveg sama þó þetta sé vinsælasta appið í dag, því Apple gæti notað þetta tilefni til að búa til dæmi úr þeim "enginn er of stór og vinsæll til að brjóta okkar skilmála" attitude.


*-*

Skjámynd

Höfundur
intenz
Besserwisser
Póstar: 3337
Skráði sig: Mið 08. Okt 2008 22:07
Reputation: 35
Staðsetning: /dev/null
Staða: Ótengdur

Re: QuizUp og Plain Vanilla

Pósturaf intenz » Mán 25. Nóv 2013 23:18

Ég veit það ekki en ég hugsa að Persónuvernd sé ekki með neinn sérfræðing þegar kemur að hugbúnaði. En þar sem appið er gert á íslenskri grundu og er notað af fjölmörgum íslenskum notendum hlýtur það að gegna íslenskri lögsögu.

Já, það eru nokkrir hlutir sem gætu gerst. Apple gæti hent þeim út úr App Store og vinsældum þeirra dalað. Erlendu fjárfestarnir sem ætluðu að fjárfesta í þeim gætu hætt við og fyrirtækið farið á endanum á hausinn. Þeir gætu líka fengið fjársektir, frá bæði íslenskum stjórnvöldum vegna brota á persónuverndarlögum og líka bandarískum stjórnvöldum.

Appið Path fékk t.d. $800,000 dollara sekt út af einmitt sambærilegum brotum.


i7 920 @ 2.8 GHz | Gigabyte EX58-UD3R | CSX 3x2 GB DDR3 @ 1600 MHz | Gigabyte ATi Radeon HD 5850 | Sileo 500 | RealPower 600W | Corsair Force 3 120 GB | 27" FullHD | W7 x64

Skjámynd

appel
Stjórnandi
Póstar: 5592
Skráði sig: Fös 13. Jún 2003 16:46
Reputation: 1053
Staða: Ótengdur

Re: QuizUp og Plain Vanilla

Pósturaf appel » Mán 25. Nóv 2013 23:40

intenz skrifaði:Ég veit það ekki en ég hugsa að Persónuvernd sé ekki með neinn sérfræðing þegar kemur að hugbúnaði. En þar sem appið er gert á íslenskri grundu og er notað af fjölmörgum íslenskum notendum hlýtur það að gegna íslenskri lögsögu.

Já, það eru nokkrir hlutir sem gætu gerst. Apple gæti hent þeim út úr App Store og vinsældum þeirra dalað. Erlendu fjárfestarnir sem ætluðu að fjárfesta í þeim gætu hætt við og fyrirtækið farið á endanum á hausinn. Þeir gætu líka fengið fjársektir, frá bæði íslenskum stjórnvöldum vegna brota á persónuverndarlögum og líka bandarískum stjórnvöldum.

Appið Path fékk t.d. $800,000 dollara sekt út af einmitt sambærilegum brotum.


Kannski of snemmt að fara tala um einhverjar sektir, en jú, fyrirtæki hafa fengið sektir á sig fyrir svona afglöp. En ég get ekki séð hvernig Plain Vanilla gæti verið sektað af bandarískum yfirvöldum, ef fyrirtækið lýtur íslenskri lögsögu. Apple getur ekki gert neitt annað en að taka út appið, þeir geta ekki sektað fyrirtækið. Íslensk yfirvöld færu varla að tortíma vonarglætu íslenskra sprotafyrirtækja með himinháum sektargreiðslum. Fyrirtækið er alveg íslenskt, en eru með skrifstofu sýnist mér í San Francisco einnig. Það er spurning hvernig þessu er háttað hjá þeim, hvort eignarrétturinn sé bandarískur eða íslenskur. Kannski er ísland bara starfsstöð en aðalbækistöðvar í San Francisco þar sem fyrirtækið og eignarrétturinn yfir appinu er skráður. Það gæti verið líklegt útaf gjaldeyrishöftum á Íslandi, sem gerir það að verkum að fyrirtækið lýtur bandarískri lögsögu þó allt sé unnið á Íslandi!


*-*

Skjámynd

Output
Ofur-Nörd
Póstar: 213
Skráði sig: Lau 16. Apr 2011 15:46
Reputation: 0
Staða: Ótengdur

Re: QuizUp og Plain Vanilla

Pósturaf Output » Þri 26. Nóv 2013 00:07




Skjámynd

dori
Besserwisser
Póstar: 3606
Skráði sig: Fim 12. Feb 2009 10:46
Reputation: 142
Staða: Ótengdur

Re: QuizUp og Plain Vanilla

Pósturaf dori » Þri 26. Nóv 2013 14:05

appel skrifaði:
intenz skrifaði:Ég veit það ekki en ég hugsa að Persónuvernd sé ekki með neinn sérfræðing þegar kemur að hugbúnaði. En þar sem appið er gert á íslenskri grundu og er notað af fjölmörgum íslenskum notendum hlýtur það að gegna íslenskri lögsögu.

Já, það eru nokkrir hlutir sem gætu gerst. Apple gæti hent þeim út úr App Store og vinsældum þeirra dalað. Erlendu fjárfestarnir sem ætluðu að fjárfesta í þeim gætu hætt við og fyrirtækið farið á endanum á hausinn. Þeir gætu líka fengið fjársektir, frá bæði íslenskum stjórnvöldum vegna brota á persónuverndarlögum og líka bandarískum stjórnvöldum.

Appið Path fékk t.d. $800,000 dollara sekt út af einmitt sambærilegum brotum.


Kannski of snemmt að fara tala um einhverjar sektir, en jú, fyrirtæki hafa fengið sektir á sig fyrir svona afglöp. En ég get ekki séð hvernig Plain Vanilla gæti verið sektað af bandarískum yfirvöldum, ef fyrirtækið lýtur íslenskri lögsögu. Apple getur ekki gert neitt annað en að taka út appið, þeir geta ekki sektað fyrirtækið. Íslensk yfirvöld færu varla að tortíma vonarglætu íslenskra sprotafyrirtækja með himinháum sektargreiðslum. Fyrirtækið er alveg íslenskt, en eru með skrifstofu sýnist mér í San Francisco einnig. Það er spurning hvernig þessu er háttað hjá þeim, hvort eignarrétturinn sé bandarískur eða íslenskur. Kannski er ísland bara starfsstöð en aðalbækistöðvar í San Francisco þar sem fyrirtækið og eignarrétturinn yfir appinu er skráður. Það gæti verið líklegt útaf gjaldeyrishöftum á Íslandi, sem gerir það að verkum að fyrirtækið lýtur bandarískri lögsögu þó allt sé unnið á Íslandi!

Ég held að þróun sé "aðkeypt" frá fyrirtæki sem er úti og "verktakinn" sé íslenska félagið.

Annars þá skimaði ég bara yfir þennan póst hjá þessum manni en svo er hann með link á http://dragonforged.com/ sem gerir einhvern trivia leik fyrir iOS þannig að maðurinn virðist ekki vera alveg hlutlaus.

Svo er þetta allt eitthvað *PLAIN TEXT* þetta og hitt en samt tekið fram að þeir nota HTTPS fyrir allt. Þannig að hann er basically að segja hvað? Ef einhver nær að fá aðgang að tækinu þínu fær hann að vita allt sem appið fær að vita? Auðvitað nokkrir alvarlegir hlutir þarna en þetta virðist vera örlítið blásið upp.



Skjámynd

Stuffz
ÜberAdmin
Póstar: 1335
Skráði sig: Lau 11. Mar 2006 18:39
Reputation: 100
Staðsetning: 109 Rvk
Hafðu samband:
Staða: Ótengdur

Re: QuizUp og Plain Vanilla

Pósturaf Stuffz » Þri 26. Nóv 2013 14:18

klúður..

þeir eru örugglega á 100 að lofa bót og betrun akkúrat núna.


Intel NUC Hades Canyon 8Tb NVME +8Tb SSD +80Tb HDD, Nvidia Shield Android TV, Xbox Series X, Xiaomi 4K Projector
CAMS: Insta360 X3, X4, FLOW, GO, ACE Pro, Skydio 2. Rafskjótar: E-20, KS-16S, KS-S22, EB Commander
Búnaður: Lazyrolling Armored Jacket, Alpha Motorsport-pants, TSG Pass Pro, Fox Proframe
187 KP Wrist Guards, Leatt Dual-Axis, Kinetic DL EUC Shoes, P65 BOBLBEE Backpack


hkr
spjallið.is
Póstar: 407
Skráði sig: Fös 23. Jan 2009 14:22
Reputation: 15
Staða: Ótengdur

Re: QuizUp og Plain Vanilla

Pósturaf hkr » Þri 26. Nóv 2013 14:37

dori skrifaði:Svo er þetta allt eitthvað *PLAIN TEXT* þetta og hitt en samt tekið fram að þeir nota HTTPS fyrir allt. Þannig að hann er basically að segja hvað? Ef einhver nær að fá aðgang að tækinu þínu fær hann að vita allt sem appið fær að vita? Auðvitað nokkrir alvarlegir hlutir þarna en þetta virðist vera örlítið blásið upp.


SSL var ekki að dulkóða allt sem var sent:
Öll samskipti á milli QuizUp notenda og netþjóna Plain Vanilla eru kóðuð með SSL-dulkóðun. Vegna galla í hugbúnaðarsafni frá þriðja aðila var þessi dulkóðun ekki fullnægjandi í örfáum tilvikum.

http://www.dv.is/frettir/2013/11/26/alv ... id-quizup/




AntiTrust
Stjórnandi
Póstar: 6354
Skráði sig: Þri 19. Ágú 2008 20:58
Reputation: 161
Staða: Ótengdur

Re: QuizUp og Plain Vanilla

Pósturaf AntiTrust » Þri 26. Nóv 2013 14:46




Skjámynd

dori
Besserwisser
Póstar: 3606
Skráði sig: Fim 12. Feb 2009 10:46
Reputation: 142
Staða: Ótengdur

Re: QuizUp og Plain Vanilla

Pósturaf dori » Þri 26. Nóv 2013 14:47

hkr skrifaði:
dori skrifaði:Svo er þetta allt eitthvað *PLAIN TEXT* þetta og hitt en samt tekið fram að þeir nota HTTPS fyrir allt. Þannig að hann er basically að segja hvað? Ef einhver nær að fá aðgang að tækinu þínu fær hann að vita allt sem appið fær að vita? Auðvitað nokkrir alvarlegir hlutir þarna en þetta virðist vera örlítið blásið upp.


SSL var ekki að dulkóða allt sem var sent:
Öll samskipti á milli QuizUp notenda og netþjóna Plain Vanilla eru kóðuð með SSL-dulkóðun. Vegna galla í hugbúnaðarsafni frá þriðja aðila var þessi dulkóðun ekki fullnægjandi í örfáum tilvikum.

http://www.dv.is/frettir/2013/11/26/alv ... id-quizup/

Ég hef ekki sett mig 100% inní þetta en var það ekki galli í 3rd party library sem gerði það að verkum að það var hægt að gera MitM árás á samskiptin?

Annað sem er miklu stærra issue IMHO og eitt af því sem þessi Kyle gæi bendir á er að PV var að senda allskonar gögn um notendur til annarra notenda sem skipta þá engu máli en eru upplýsingar sem þú vilt ekki endilega gefa öllum sem þú spilar við (facebook nafn og netfang t.d.).