Um dos maiores problemas que os utilizadores dos dispositivos móveis enfrentam é a segurança dos seus dados dentro das aplicações que utilizam. Se a maioria procura proteger-se com passwords e outros mecanismos, outras têm medidas que apesar de parecerem seguras, acabam por ter falsas protecções.
Um teste exaustivo realizado às principais aplicações dos sistemas móveis revelou um cenário que muitos não querem acreditar. São dezenas as aplicações que têm problema com as passwords e com os acessos.
Um dos problemas associados às passwords, e que muitos ignoram, é a possibilidade de serem feitas tentativas de acesso sem qualquer controlo. Isto significa que não existem mecanismos de controlo sobre o número de tentativas de acesso que pode ser feito.
Ao não existirem esses mecanismos de controlo de tentativas fica aberta a porta a ataques de força bruta, em que se torna simples descobrir as passwords dos serviços.
Foi precisamente este teste que a empresa AppBugs realizou nas cem mais conhecidas aplicações disponíveis nas lojas do Android e do iOS. O cenário que foi descoberto revelou que mais de metade delas (53) não têm qualquer mecanismo de protecção.
Mas ao contrário do que seria esperado essas aplicações que podem comprometer os dados dos utilizadores são de serviços ou empresas de renome. Em causa estão aplicações como o Songza, o Pocket, o Wunderlist ou o SoundCloud.
Com base em dados actuais, e dada a fraca segurança das passwords de muitos utilizadores, bastaria meia hora para um atacante conseguir descobrir uma password de um utilizador de um desses serviços. Mesmo com passwords fortes esse tempo seria de 24 horas.
Para cada aplicação em que foi descoberta esta vulnerabilidade, a empresa AppBugs reportou o problema aos programadores. Foi-lhes dado 30 dias para resolver o problema e aplicar uma solução. A lista das aplicações que se encontram ainda vulneráveis pode ser consultada aqui.
Mas o pior desta situação é que os utilizadores não podem tomar qualquer medida para se protegerem contra este problema. A sua causa está na forma como os serviços implementam as medidas de protecção contra tentativas abusivas de autenticação.
A única protecção que podem implementar é usar passwords bastante forte, o que apenas conseguirá aumentar o tempo necessário para descobrir a password e dar acesso ao serviços.