Legalità di sniffing del proprio traffico tra l'app mobile e il server

0

Recentemente ho trovato un bug su un'app mobile che pretende di proteggere la privacy dei propri utenti, tuttavia dopo aver collegato il mio telefono con burp e installato un certificato ho notato che questa app stava inviando il nome e il cognome completi di un utente + qualche altro informazioni di identificazione personale (profili di altri utenti, non solo mie), tuttavia questo non viene mostrato direttamente all'utente.

Volevo contattare il venditore dell'app, tuttavia dopo aver visualizzato la loro pagina legale ho i miei dubbi come affermano quanto segue:

"reverse engineering of 'the software' is strictly prohibited and may result in legal action"

Ho escluso il nome dell'app / azienda in questione per ovvi motivi

Attualmente sono in conflitto tra divulgare responsabilmente questo bug a loro in modo che possano risolvere il problema o semplicemente non farlo affatto poiché non sono del tutto sicuro se sniffing il mio proprio traffico tra l'app e il server potrebbe essere considerato 'reverse engineering' e io semplicemente non voglio essere denunciato.

Qualcuno conosce la legalità di fare questo? È considerato "reverse engineering"?

    
posta Paradoxis 07.07.2017 - 11:44
fonte

2 risposte

1

In primo luogo, una definizione.

Reverse engineering, also called back engineering, is the processes of extracting knowledge or design information from anything man-made and reproducing it or reproducing anything based on the extracted information.
The process often involves disassembling something (a mechanical device, electronic component, computer program, or biological, chemical, or organic matter) and analyzing its components and workings in detail. Source Wikipedia Reverse Engineering

così. sta estraendo dati da una connessione extracting knowledge or design information .   La risposta Sì, lo è.
Tuttavia, per essere ingegneria inversa, abbiamo bisogno di più. dobbiamo anche "riprodurlo o riprodurre qualsiasi cosa in base alle informazioni estratte".
E lo stiamo facendo. la risposta è No. Stiamo solo controllando i dati che riceviamo sopra la linea, a scopo di verifica. (Verifichiamo che l'applicazione sta facendo ciò che dovrebbe fare, non (ri) costruire un'implementazione alternativa.

. a meno che la definizione legale nella tua zona sia diversa dalla definizione di wikipedia, non ci dovrebbero essere motivi per rivendicare il reverse engineering.

Inoltre non stai eseguendo il reverse engineering del software. Stai analizzando la connessione che usa. (anche se consideri solo il reverse engineering dell'atto, non esiste una proprietà intellettuale che puoi violare analizzando i dati sul filo, poiché è al di fuori del controllo di chiunque.)

Dato che stai solo osservando ciò che puoi vedere e non manipolando la connessione in nessun altro modo, non stai facendo nulla con il software che usano. (in effetti non stai facendo nulla di più di quanto possa fare qualsiasi firewall aziendale).

Per essere sicuro di consultare un avvocato, ma a prima vista dovrebbe andare bene.

    
risposta data 07.07.2017 - 12:02
fonte
0

Anche se sono completamente d'accordo con LvB, certamente consiglierei l'avvocato ma aggiungo che se qualcuno veramente voleva essere un dolore, avere poco terreno legalmente non impedisce esattamente a qualcuno di presentare una causa comunque per fare un punto.

Tuttavia, il tuo non reverse engineering nulla IMO, ma la possibilità di una causa, non importa quanto frivola, sarebbe presente. Detto questo, potrebbe essere meglio contattare il fornitore in un maniero più anonimo se sei veramente paranoico a riguardo.

    
risposta data 08.07.2017 - 02:13
fonte

Leggi altre domande sui tag