Uber tem ignorado uma falha grave na autenticação da sua app

A Uber tem estado no centro de muitas polémicas nos últimos anos. Este serviço de transporte tem tido aceitações diferentes nos países onde se implementa, nem sempre cativando a concorrência.

Uma base do seu serviço é mesmo a sua app para sistemas móveis, que dá toda a liberdade aos utilizadores. Infelizmente, esta tem um problema grave de segurança na autenticação de 2 fatores e que a Uber insiste em ignorar.

Cada vez mais, a autenticação de 2 fatores (2FA) é usada para aceder a serviços presentes na Internet, por garantir uma camada adicional de proteção aos utilizadores, obrigando-os a introduzir um código a que apenas eles têm acesso.

A Uber já está desde 2015 a testar este mecanismo 2FA nos seus serviços e apps, mas ainda não o tornou padrão para a autenticação, apesar de muitos clientes receberem essa indicação da empresa.

O investigador de segurança Karan Saini descobriu uma falha no sistema de autenticação de 2 fatores da Uber, que permite que esta seja contornada, deitando por terra toda a segurança da autenticação. Este problema foi reportado, mas a Uber limitou-se a ignorá-lo, não lhe dando a atenção devida.

O relato do erro foi feito por Karan Saini à HackerOne, do programa da Uber de caça aos bugs, mas foi ignorado, tendo sido classificado apenas como informativo, o que não lhe garante qualquer certeza de resolução.

Segundo a Uber, esta é uma falha com impacto reduzido e até, nalgumas situações, é o comportamento esperado. Ainda sem ter sido tornada pública, sabe-se que a falha permite contornar os mecanismos 2AF e autenticar apenas com o nome de utilizador e palavra-passe.

A justificação da Uber tem assentado nos diferentes testes que a empresa tem feito no seu sistema 2AF e que a falha reportada não tem qualquer expressão. O investigador que a descobriu refuta estas declarações e espera que outros a descubram e que provem que é uma falha real.