Proponha uma correção, faça uma sugestão
Apps populares mas “perigosas” revelam passwords no Android
A segurança informática é certamente um dos temas mais explorados mas também debatidos dentro do mundo da tecnologia. No segmento dos dispositivos móveis as empresas responsáveis pelos sistemas operativos têm reforçado constantemente as suas plataformas mas, apesar dos esforços, os “buracos” continuam a aparecer.
Desta vez uma investigação levada a cabo pelo site AppBugs revelou que existem no Android várias apps populares que expõem as passwords dos utilizadores.
De acordo com o estudo da empresa AppBugs, que se dedica a avaliar eventuais vulnerabilidades em aplicações para dispositivos móveis, no Android existem várias apps que podem revelar as passwords dos utilizadores. Como?
National Basketball Association, Match.com dating service, Safeway supermarket chain e PizzaHut são alguns exemplos de apps que são bastante populares mas perigosos.
De acordo com a investigação, estas apps não usam o protocolo HTTPS (ou este está mal implementado) nas comunicações com os servidores, sendo que desta forma as passwords passam "em claro" na rede – veja aqui o exemplo de um site sem HTTPS. Com este cenário, um ataque man-in-the-middle pode facilmente revelar as credenciais de um utilizador para um determinado serviço.
Demonstração do ataque
A AppBugs já informou os responsáveis pelas apps de tais problemas mas, na sua maioria, nem sequer responderam.
Este artigo tem mais de um ano
Loading ...
Então o Chorme também é inseguro… Pode aceder a websites que não tem https!
Na verdade o Chrome é um simples browser, essa parte é normalmente da responsabilidade dos serviços. Há no entanto extensões que forçam o uso de HTTPs.
Se um site não for no protocolo HTTPS não tem qualquer tipo de encriptação na ligação, o que quer dizer que tudo o que tu envias e recebes pode facilmente ser acedido na rede, incluíndo passwords, através de programas comuns como o Wireshark por exemplo.
O problema mais grave no entanto é quando um site tem o protocolo HTTPS mas está mal implementado, aí tu pensas que tens uma ligação segura que na verdade não existe.
Há uns anos, não assim há muito tempo, por exemplo quando acedias ao gmail.com a página de login estava com o protocolo HTTPS ou seja quando fazias Login ninguém (pelo menos de forma simples) conseguiria ter acesso à tua password, mas as restantes páginas estavam em HTTP ou seja, eu não via a tua password mas podia filtrar todos os mails que tu visses.
HTTPS para sites que passam dados sensíveis….é lei!!! 🙂
lol “o que, apareceu uma vulnerabilidade na apple a sério que rouba as passwords? vamos arranjar uma para o android, mesmo que seja algo que sempre existiu e faz parte da forma como a net funciona!”
neste caso o windows também é vulneravel quando corro o firefox ou chrome ou seja o que for e meto o wireshark a apanhar as passwords… lol
A vulnerabilidade das passwords na “Apple” era só no Mac não no iOS. Quanto ao “algo” que sempre existiu, há anos que existe HTTPS e há anos que se critica a comunicação não encriptada de dados de autenticação.
pplware fala muito do HTTPS mas nem sequer o tem implementado no seu website. é algo bastante interessante…
O que é que há aqui que requeresse o uso de HTTPS!?
Exacto. Não pedimos “dados” sensíveis aos utilizadores.
Quanto a isso não concordo muito, eu acho que o email é algo pessoal, apesar de hoje em dia haver montes de sites para criar emails temporários e assim, mas de qualquer das formas, toda a gente sabe o valor que uma boa lista de email pode ter…
Sim, mas ninguém usa ataques man in the middle para “roubar” e-mails 😀
os comentarios por exemplo?
Os comentários? Considerando que não há logins e que os comentários são públicos, não vejo o que é que se pode ganhar com o HTTPS.
O objetivo de encriptar os dados, JBM, não é só proteger os dados de login mas sim o que o PC X vê. E só pelo facto de saber que o nick X email Y comentou no site Z pode-te dizer muita coisa. Sabes que essa pessoa, se a conheceres de vista online, está no sitio tal a hora tal… à primeira vista parece algo inutil mas as coisas pequenas, o minimo de informação é o suf para saber muita coisa.
com todo o devido respeito mas o que se lê e escreve no Pplware não diz absolutamente nada a não ser que andem para aqui a escrever o nome completo, o que têm e onde vivem, mas mesmo aí quer seja encriptado ou não é irrelevante pois o que escrevem é público!
Quanto a saber onde a pessoa está, andas a ver muitos filmes, o que se obtém é o IP e isso para a maioria dos casos no máximo dá a cidade, muitas vezes errada, a não ser que tenham acesso privilegiado a informação protegida das operadoras de telecomunicações. Mas creio que mesmo nisso tanto faz se está ou não encriptado pois os IPs continuam a aparecer – a rede precisa de saber os endereços!
Pela tua ordem de ideias tudo acabaria por ser encriptado e protegido, pelo sim pelo não, mesmo que no fim seja público!
Acho bem mais preocupante para a privacidade neste site os cookies.
voces todos os dias arranjam artigos para assustar quem tem android,tentem ao menos serem imparciais,poem um artigo contra o SO android um contra o SO IOS, assim tinha mais graça ao menos 😉
https://www.google.co.uk/?gws_rd=ssl#q=iphone+app+bugs
Imparciais? Então, demos conta de todos os recentes problemas em várias plataformas, porque só apontaste o iOS? Falámos dos problemas do iOS e OS X http://bit.ly/1BukFlA falámos em problemas no Windows http://bit.ly/1B8BBhA e falámos em Android http://bit.ly/1HWCICf. Contudo só vês para um lado… eu sei o que é isso: http://bit.ly/1Bul1J8
Mas então não devia de ser as empresas donas das apps , as primeiras a preocuparem -se com os seus clientes , acho eu que a pizza hut quer uma app para vender umas pizas , apesar de ser utilizador wp já sei que app não instalarei
O website do AppBugs não abre!