Darmowe Big Mac w McDonald’s są jak najbardziej możliwe. A kto nie ma smaka na darmowego Big Maca? Sęk w tym, że wspomniana tu metoda jest nielegalna, chociaż według naszych ustaleń jak najbardziej skuteczna. Całość opiera się na luce w aplikacji. Jeśli jednak ktoś myśli, że niżej dostanie dokładną instrukcję jak z tego skorzystać, to raczej się zawiedzie. Raz, że nie popieramy nawet piractwa, a co dopiero wyłudzania, a po drugie strona, która opublikowałaby coś takiego, mogłaby zyskać wielu znajomych, chociaż już nie koniecznie przyjaciół, którzy pracują w dziale prawnym McDonald’s. Podobnie sprawa ma się z wykorzystaniem tej luki. Skąd więc o niej wiemy? No cóż… przypadkiem. Otóż trafiliśmy na ten kod na GitHubie, jednak dość szybko stamtąd zniknął. Całość przypomina jednak pewną bardzo głośną lukę o nazwie log4j, która była poważnym problemem jeszcze kilka tygodni temu.
Darmowe Big Mac w McDonalds – błąd w aplikacji
Za pomocą samej aplikacji nie jest możliwe wymuszenie tego błędu, chociaż ten jak najbardziej jej dotyczy. Najprawdopodobniej więc została przetestowana pod tym względem wręcz wzorowo. Problem w tym, że można się do niej dostać… z zewnątrz. Otóż ta została napisana w JavaScript. I teoretycznie nie ma w tym nic złego, gdyby nie fakt, że jej twórcy zapomnieli ją zabezpieczyć przed odbieraniem poleceń z konsoli uruchomionej w przeglądarce.
Zobacz też: Smartfon 5G McDonald`s okazał się…. kurczakiem
Jak? Otóż w aplikacji można odszukać link zewnętrzny i za jego pomocą wydostać się poza standardowy interfejs. A wtedy możliwości stają się praktycznie nieograniczone. Na przykład można uruchomić wyżej wspomnianą konsolę w wbudowanej przeglądarce i wymusić na aplikacji wykonanie konkretnego kodu JavaScript, który dostając się do odpowiedniego obiektu aplikacji pozwala na wygenerowanie kuponów na darmowe Big Mac w McDonald’s. Okazuje się, że serwery firmy tego nie weryfikują i wierzą apce „na słowo”.
Zobacz też: Pobierając fałszywe kupony do McDonald’s możesz stracić pieniądze z konta
Darmowe Big Mac w McDonald’s – nie szukajcie kodu!
Wykład umoralniający? Nie, na to jeszcze przyjdzie czas. Chodzi tu o to, że oryginalny kod już zniknął. Potem pojawił się kolejny, który przy okazji wyświetlał pewne dziwne treści z Papieżem. Jednak to nie przed nimi chcę Was ostrzec. Otóż teoretycznie możliwe jest wklejenie kodu, który zmusi aplikację do instalacji złośliwego oprogramowania, albo kradzieży danych. Tak naprawdę pozwalamy przez to obcemu, nieznanemu programowi dostać się do naszego smartfona w nadziei, że jedynym podmiotem, który zostanie okradziony będzie McDonald’s, a wobec nas cyberprzestępca stojący za kodem będzie miły. Lepiej założyć, że nie będzie. Jeśli jednak już coś tą drogą złapaliście, to całe szczęście w nieszczęściu, że Jolanta przygotowała artykuł o aplikacjach, których lepiej się pozbyć.
Zobacz też: Rok 2021 pobił niechlubny rekord pod względem cyberataków
Darmowe Big Mac w McDonald’s – to zwykłe wyłudzenie
Czas na umoralniającą gadkę: z tej perspektywy jest to zwykła kradzież. Już nawet piractwo komputerowe jest lepsze, bo kopii nie ubywa. A Big Mac to jednak obiekt w pełni fizyczny i jeśli go zjecie, to sieć będzie miała o jednego mniej. I oczywiście to, że jest to duża i bogata firma, nie jest żadnym usprawiedliwieniem. Gorzej sprawa wygląda z perspektywy prawnej. Tam to już nie jest kradzież. To oszustwo.
Oszustwo – art. 286 kk
§ 1. Kto, w celu osiągnięcia korzyści majątkowej, doprowadza inną osobę do niekorzystnego rozporządzenia własnym lub cudzym mieniem za pomocą wprowadzenia jej w błąd albo wyzyskania błędu lub niezdolności do należytego pojmowania przedsiębranego działania, podlega karze pozbawienia wolności od 6 miesięcy do lat 8.
I może nie pójdziecie od razu siedzieć. Pewnie skończy się to w najgorszym razie na zawiasach, jeśli McDonald’s nie będzie zbytnio naciskał. Jednak czy jedna kanapka jest warta tych nerwów? Jak widzicie, są przynajmniej 3 powody, aby tego nie robić. A jeśli nie przejmujecie się kwestiami moralnymi, to pamiętajcie, że 2/3 to wciąż o dwa powody za dużo, aby nie szukać tego kodu
Aktualizacja 17.05.2022:
McDonald’s rozwiązał już ten problem, więc możemy z czystym sumieniem podzielić się procedurą, która go wywoływała: Otóż polityce prywatności aplikacji znajdują się linki zewnętrzne. Kliknięcie w jeden z nich, np. Google Analytics powodowało przejście na stronę Google. Z niej zaś można było dostać się do wyszukiwarki Google, przez którą to z kolei mogliśmy wyszukać konsolę JavaScript online. Za jej pomocą można było dostać się do obiektu mcd i wykonywać polecenia. Po wklejeniu kodu z GitHuba uruchamiało się generowanie kuponów.
Źródło: kodeks karny, GitHub